CyberCrime en het duistere internet
— Misdaad op internet en digitale opsporing—
dr. Albert Benschop
Universiteit van Amsterdam
|
“Cyberwapens zijn de gevaarlijkste innovatie van deze eeuw” [Eugene Kaspersky, New York Times, 3.6.12].
|
Cybercriminaliteit moet primair worden onderzocht vanuit een sociaalwetenschappelijk in plaats van een technologisch perspectief. Cybercriminologie onderzoekt de oorzaken, organisatie en werking van misdaden die in cyberspace plaats vinden en van de gevolgen daarvan in de lokale wereld.
|
|
Internet als crimineel walhalla |
|---|
Slagschaduw van digitale revolutie
Bijna iedereen is het erover eens: cybercriminaliteit en het crimineel misbruik van het internet door al dan niet georganiseerde misdadigers moet bestreden worden. Misdadigers die zichzelf op illegale wijze proberen te verrijken, of die er andere praktijken op nahouden die niet door de beugel van de recht passen —zoals kinderporno, discriminatie of andere uitingsdelicten— maken bij de voorbereiding en uitvoering van hun daad bijna allemaal gebruik van het internet en mobiele communicatie, of begaan ze op dit domein zelf. Dit laatste noemen we cybercriminaliteit of cybercrime.
Internet is een integraal deel van ons dagelijks leven geworden. Het heeft veel zegeningen met zich meegebracht, maar ook de slagschaduw die elke grote technologische uitvinding op de voet lijkt te volgen: criminaliteit. Cyberspace is een aantrekkelijk jachtgebied voor criminelen. Er valt veel geld te halen en allerlei soorten informatie (persoonsgegevens, patenten, bedrijfsgeheimen, technologische kennis) die in geld kunnen worden omgezet.
Door de exponentiële groei van informatie- en communicatietechnologiën worden veel traditionele misdaden nu uitgevoerd met behulp van computers en netwerken (internet enabled crime. Daarnaast zijn er ook niewe vormen van criminaliteit ontstaan die misgebruik maken van de ongekende mogelijkheden van informatie- en communicatiesystemen (internet specific crime). Juist deze niet-traditionele of digitale vormen van cybercrime vereisen van onze politiële en justitiële rechthandhavers een aanzienlijke inspanning om deze cybercriminelen te identificeren, te arresteren en gerechtelijk te vervolgen.
Landen met een geavanceerde internet infrastructuur en internet-gebaseerde economie en betalingssysteem.
Grote variëteit aan vormen van cybercrime:
- Misdaden die door georganiseerde groepen worden gepleegd om grote criminele winsten te genereren zoals online fraude.
- Misdaden die serieuze schade berokkenen aan het slachtoffer, zoals online seksueel van kinderen.
- Misdaden die de kritische infrastructuren raken zoals systemen voor productie en distributie, voor banken en beurzen, voor waterkeringen en kerncentrales, voor vervoer en verkeer, en voor informatie en communicatie.
Er zijn misdaden die gericht zijn tegen de infrastructuren van onze computersystemen en netwerken en er zijn misdaden die online worden begaan. Dit omvat alle delicten van kwaadaardige software, hacking, phishing, intrusie, manipulatie, identiteitsdiefstal en fraude, tot aan grooming en online seksuele exploitatie van kinderen.
De schaal van cybercriminele activiteit stelt de handhavers van de rechtstaat voor grote problemen. De totale kosten van cybercrime voor de samenleving zijn aanzienlijk [—>Kosten van Cybercrime]. Cybercrime is inmiddels nog winstgevender dan de totale handel in marijuana, cocaïne en heroïne samen.
Internet is een walhalla voor de cybercrimineel. De cracker waant zich almachtig, boven de wet verheven en onaantastbaar. Cyberspace is een vrijstaat, met open grenzen en onduidelijke spelregels. Omdat de verdachten zo moeilijk zijn te tracenren worden cybermisdaden zelden bestraft. Daarin lijkt maar langzaam verandering te komen. Opsporingsinstanties treden steeds effectiever en vaker op tegen criminele hackers. Maar er is nog veel onduidelijkheid over wat digitale rechercheurs mogen doen en welke bijzondere opsporingsmiddelen zij daarbij mogen gebruiken (pseudokoop, of infiltratie, deze actieve deelname aan een crimineel netwerk).
Wat is een cybercrime en welke soorten van online bedreven delicten zijn er? Hoe ontwikkelen die verschillende soorten van cybercrime zich in Nederland en de rest van de wereld? Waarom zijn cybercriminelen tot nu toe zo succesvol?
En wat kunnen wetshandhavers doen om het tij te keren? Hoe komen politie en justitie op het spoor van de daders van cyberdelicten? Hoe kun je achterhalen wie er verantwoordelijk is voor een specifieke cybercrime? Wat zijn de digitale sporen die cybercriminelen achterlaten? Met welke middelen kun je deze sporen analyseren? En tenslotte de preventie: wat zou er aan de infrastructuur van het internet en aan ons eigen gedrag moeten veranderen om cybercrime te voorkomen?
Nabijheid en confrontatie
Internet is een medium van
sociale nabijheid. Het faciliteert sociale en intieme contacten tussen mensen ook wanneer zij niet binnen een tijdruimtelijk verband fysiek aanwezig zijn. Vanaf grote afstand kunnen we nu virtueel voor elkaar aanwezig zijn.
Internet stelt ons in staat om op afstand en mobiel met elkaar te communiceren en informatie uit te wisselen. Dank zij internet en mobiele communicatieapparatuur kunnen we elkaar op elk gewenst tijdstip en overal bereiken. Er is een nieuwe digitale leefomgeving ontstaan, een virtuele leefwereld die in al haar vezels en haarvaten verankerd is in de lokale, fysieke wereld.
Internet dringt diep door in ons alledaagse en persoonlijke en publieke leven. De meest uiteenlopende activiteiten worden tegenwoordig virtueel afgehandeld. We werken en studeren via internet. We gebruiken internet om met elkaar te communiceren en van informatie te voorzien. We kopen goederen en diensten op commerciële websites en via online bankieren regelen we ons betalingsverkeer. We amuseren ons op internet en spelen online spelletjes. We geven lucht aan onze emoties, publiceren onze meningen, verhalen en analyses en we leveren online kritiek op anderen. In webfora uiten we onze diepste gevoelens en delen virtueel lief en leed met elkaar. Internet is een medium van sociale nabijheid en van creativiteit.
In Nederland zijn de individuele burgers en de samenleving als geheel sterk afhankelijk geworden van de informationele en communicatieve mogelijkheden van het internet. Juist daarom zijn we op dit punt ook erg kwetsbaar geworden. We zijn afhankelijk geworden van systemen die we niet kunnen beschermen tegen kwaadaardige aanvallen.
We merken pas hoe afhankelijk we zijn van het internet als het niet meer werkt, of niet meer werkt zoals wij verwachten. Individuele burgers, ondernemingen en overheden lopen averij als de computersystemen en netwerken door kwaadwillenden wordt gemanipuleerd en ontregeld.
Internet heeft ons veel nieuwe mogelijkheden en comfort geboden. Maar het biedt juist ook veel schaduwzijden. Die duistere kant van het internet loopt van online bedreigingen en cyberbelaging, tot online pedofilie tot identiteitsdiefstal en schending van privacy, van cybercriminaliteit (fraude, diefstal, oplichting) tot cyberterrorisme, en eindigt met nationale staten die via het internet elkaars vitale infrastructuren ontregelen en zelfs fysiek vernietigen. We kunnen via internet worden bedreigd, bespioneerd, afgeperst, bestolen en beschadigd.
Internet is zowel medium als inzet van maatschappelijke en politieke strijd. Het is het virtuele toneel geworden waarop maatschappelijke conflicten worden uitgevochten. Activisten met de meest uiteenlopende doelstellingen en strijdmethoden gebruiken internet als platform om zich virtueel te organiseren: zij publiceren hun kritieken, programma’s en eisen; zij werven aanhangers en fondsen; zij mobiliseren hun achterban; zij protesteren bij hun conflicttegenstanders of blokkeren hun internetlocaties; en zij organiseren internationale solidariteit. Burgers in landen met dictatoriale regimes gebruiken internet om het staatsmonopolie op tv, radio en kranten te doorbreken. Zij associëren zich in de virtuele ruimte als «wolkbeweging» om daarna onverwachts in de publieke ruimte op straten en pleinen massaal in beweging te komen.
Internet wordt gebruikt door een uitgebreide schare cybercriminelen die zich onrechtmatig proberen te verrijken. Het zijn de kleine fraudeurs, gouwdieven en bedriegers die telkens weer nieuwe trucs bedenken om geld te stelen van particulieren en ondernemingen. Er zijn ook internationaal georganiseerde criminelen en misdaadsyndicaten die gigantische sommen geld stelen door goed georkestreerde cyberovervallen op banken en door zeer geraffineerde beursmanipulaties.
Cyberterroristen gebruiken om hun gewelddadige aanslagen op civiele doelen voor te bereiden en om mensen angst aan te jagen met beelden van hun vernietigende acties. Zij brengen via internet hun klachten en eisen voor een groot publiek, zij organiseren hun internationale virtuele netwerken en lokale cellen en zij coördineren hun acties online.
Daarnaast zijn er tal van paramilitaire groepen en netwerken van nationalistische hackers die min of meer los of juist op instigatie van hun nationale overheden grootschalige cyberaanvallen lanceren op buitenlandse websites, databanken, servers, computersystemen en netwerken. Zij maken meestal gebruik van de oude techniek van de DoS-blokkade (het overstromen van een website of server met automatisch gegenereerd verkeer: een soort digitale sit-in) en van de webonthoofding (het vervangen van de hoofdpagina van een site met een eigen boodschap). In de loop der tijd wordt ook door hen meer gebruik gemaakt van de verspreiding van geavanceerde kwaadaardige software.
Cyberaanvallen richten steeds meer schade aan. Zij belemmeren en ontregelen regelmatig vitale bedrijfssectoren, nutsvoorzieningen, financiële markten en staatsinstellingen. De niet-statelijke vormen van cyberagressie worden echter steeds meer overtroffen door nationale staten die hun militaire capaciteiten hebben uitgebreid met krachtige cyberwapens waarmee internationale conflicten worden uitgevochten. Militaire cyberwapens worden bedacht en ontworpen door zeer goed gekwalificeerde specialisten op het gebied van het inbreken (hacken) op en manipuleren van vijandige computersystemen.
Cyberoorlog, cyberspionage, cyberterrorisme, cybercriminaliteit, cyberactivisme en cybervandalisme worden vaak op één grote hoop gegooid. Hoewel er bij al deze verschijnselen gebruik wordt gemaakt van vergelijkbare en soms zelfs identieke instrumenten, verschillen zij aanzienlijk zowel in hun doelstelling en methodiek als in de aard van de actoren en hun institutionele inbedding. In de volgende tabel zijn deze verschillen schematisch geordend.
|
Cyberconflicten
|
|
|
Doel
|
Methode
|
|---|
|
CyberVandalisme
|
Verdrijven van verveling, irriteren om aandacht.
Geen maatschappelijk, politiek of financieel doel.
|
Het vandaliseren van willekeurige sites en servers “voor de lol” of uit nieuwsgierigheid: “kijken of het kan”.
|
|
CyberActivisme
|
Articuleren van maatschappelijke belangen en van politieke doelstellingen; aanklagen van exploiterende, repressieve en discriminerende machthebbers.
|
Activistische propaganda: aandacht vragen voor maatschappelijke problemen middels het tijdelijk blokkeren van de toegang tot sites en servers (denial-of-service aanvallen als virtuele sit-in) en het onthoofden van sites (vervangen van homepage door eigen mededeling). Hacktivisten gebruiken meestal kortdurende denial-of-service aanvallen of publiceren gevoelige informatie van hun doelwitten als vorm van politiek protest. Meer radicale groepen zouden echter ook meer systematische effecten kunnen bewerkstellingen, zoals het ontregelen van financiële netwerken. Hun cyberacties kunnen zelfs per ongeluk gevolgen hebben die geïnterpreteerd worden als een door een staat gesteunde aanval.
|
|
CyberCriminaliteit
|
Illegale zelfverrijking: geldkopperij door diefstal, oplichting, afpersing en fraude.
|
Opportunistisch, niet ideologisch, niet strategisch: inbreken, pakken wat je kan en wegwezen (hit and run). Cybercriminelen kopen en verkopen op de zwarte markt instrumenten waarmee kan worden ingebroken op vitale infrastructuren en die gemakkelijk in handen kunnen vallen van agressieve staten, paramilitaire of terroristische organisaties.
|
|
CyberTerrorisme
|
Vijanden van de juiste leer zoveel mogelijk schade berokkenen: angst zaaien.
|
Ideologisch niet op geldelijk winst gericht. Spectaculaire cyberaanslagen op als vijandig gedefinieerde digitale doelwitten.
Terroristische organisaties hebben steeds meer belangstelling voor de ontwikkeling van offensieve cybercapaciteiten. Hun slagkracht is beperkt door de beschikbare intellectuele en organisationele bronnen en, en door concurrerende prioriteiten.
|
|
CyberSpionage
|
Verwerven van informatie over vijandige of potentieel vijandige strijdkrachten. Economische of bedrijfsspionage is gericht op het stelen intellectueel eigendom en bedrijfsgeheimen van concurrerende ondernemingen.
|
Clandestien penetreren in vijandige informatiesystemen om daar heimelijk informatiebestanden te vervreemden of communicaties af te luisteren.
|
|
CyberOorlog
|
Vernietigen of beschadigen van vitale systemen van vijandige staten met offensieve cyberwapens.
|
Strategisch en niet opportunistisch: doelwitten bepalen, cyberwapens in stelling brengen, gericht aanvallen, monitoren van effecten.
|
|
Aan deze opsomming zou nog «hacken» kunnen worden toegevoegd. De meeste ethische of white hat hackers inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen en netwerken. Hun doel is het aantonen —middels volledige of verantwoordelijke bekendmaking— dat deze systemen en netwerken inadequaat beveiligd zijn en dat het mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven als ‘binnendringen omdat het kan’ en ’lekken zoeken omdat er lekken zijn’, zonder onnodige schade aan te richten. Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste cyberveiligheid.
|
Internet is geen echt veilige plek. Ons leven in cyberspace is extreem kwetsbaar voor criminele aanvallen. Informatie- en communicatievoorzieningen zijn de wegen en bruggen van het informatietijdperk en daarom ook het primaire werkterrein van criminelen die op illegale wijze snel rijk willen worden.
|
Grondslag en vormen van cybercrime |
|---|
Voordelen van cybercriminelen
Vier/vijf soorten
- Toegang blokkeren
- Bedrijfsspionage
- Inbreken en controle overnemen
Gericht op financieel gewin: (a) grootschalige aanval op bankklanten met gebruik van malware stelen van fondsen/plundereen van rekeningen; (b) Fraude tegen bakend betalingssystemen.
- directe cybotage: Hardware vernietigen met software.
- Indirecte cybotage: destructieve cyberaanval tegen meerdere bankdatacentra. Eventueel ook: gerichte, duurzame DDoS-aanval tegen meerdere internetsystemen. (DNS - zie cyberbunker)
Cybercriminelen hoeven niet fysiek aanwezig te zijn op de plek van de misdaad, terwijl er veel te halen valt. In tegenstelling tot de conventionele misdaad, kan een cybercrimineel meerdere misdaden op hetzelfde moment plegen. Het is een ‘high profit, low risk’ markt.
De digitale revolutie heeft de wijze van criminaliteit op minstens drie manieren veranderd: de middelen, het domein en de organisatie.
- In de eerste plaats zijn de middelen waarmee het delict wordt begaan. Klassieke criminaliteit werd bedreven met fysiek geweld en fysieke middelen (breekijzers, wapens). Bij cybercriminaliteit speelt fysiek geweld geen rol en wordt gebruik gemaakt van ‘zachte’ digitale wapens: computercodes. De criminelen van vandaag dragen niet allemaal een vuurwapen of een mes, maar ze hebben wel allemaal minstens een smartphone, tablet, pc, webmailaccount en soms zelfs een Facebookprofiel.
- In de tweede plaats is het domein van de misdaad uitgebreid. Cyberspace is een geheel nieuw domein waarvan de infrastructuur gevormd wordt door computersystemen en virtuele netwerken. In dat domein regelen we tegenwoordig al onze bankzaken, we bestellen er onze goederen en diensten, we verrichten er een groot deel van ons werk, we koesteren er onze sociale en intieme contacten enz. Ons dagelijks leven erg afhankelijk van geworden van het goed en betrouwbaar functioneren van het internet en van mobiele communicatienetwerken.
|
Wat is Cyberspace?
«Internet» is het wereldwijde netwerk van computernetwerken dat de TCP/IP netwerkprotocollen gebruikt om communicatie en overdracht van informatie te faciliteren. Internet vormt samen met mobiele netwerken de materiële infrastructuur van cyberspace.
«Cyberspace» is het geheel van virtuele (door internet en mobiele communicatie gefaciliteerde en gemedieerde) interacties en transacties tussen mensen. Cyberspace is dus gedefinieerd door de sociale interacties en transacties die zich via digitale media voltrekken en niet zozeer door de technologische eigenaardigheden van het internet of mobiele telecom.
|
De digitale informatie en communicatie zijn een basistechnologie geworden van moderne samenlevingen. Internet en mobiele communicatie dringen door in alle poriën van ons publieke en particulieren bestaan. Onze samenleving is sterk afhankelijk geworden van de stabiliteit van informationele en communicatieve infrastructuren. Bovendien ondersteunt het internet in toenemende mate besturingsprocessen van vitale infrastructuur,
zoals het bankenverkeer, het elektriciteitsnetwerk en het water- en rioolbeheer. Het zijn allemaal systemen die van cruciaal belang zijn voor het dagelijkse maatschappelijke leven.
- In de derde plaats wordt de organisatie van het delict gevirtualiseerd. Criminele activiteiten waren altijd al afhankelijk van de nauwkeurigheid en betrouwbaarheid van de informatie waarover men beschikt. WIJZIG: De media waarmee deze informatie werd ingewonnen en overgedragen, konden door de conflicttegenstander worden gemanipuleerd en verstoord. In het digitale tijdperk is dat niet anders. Computersystemen en -netwerken zijn een belangrijk kanaal geworden voor de uitwisseling van militaire commando- en stafinformatie door het leveren van tekst, geluid, afbeeldingen en streaming video.
|
Criminaliteit is technologie gedreven
Ook criminelen zijn in toenemende mate afhankelijk van informatietechnologieën om te communiceren, activiteiten aan te sturen, inlichtingen te verzamelen en operaties te coördineren. Je hoeft zelfs niet in de voorhoede van deze technologieën te verkeren als je maar slim en sluw genoeg bent om je telkens aan de passen aan de specifieke onstandigheden.
|
Eigenaardigheden van cybercrime
Internet is een nieuwe arena geworden waarin mensen die zich op onwettige wijze proberen te verrijken in conflict komen met mensen die zijn aangesteld om de wetten van de rechtsstaat en daarmee de rechten van de burgers te verdedigen. Er is een nieuwe fase onstaan in de al eeuwen durende strijd tussen wetsovertredens en wetshandhavers.
- Cybercrime — definitie
ICT heeft een grote betekenis gekregen voor de verschijningsvormen en werkwijzen van georganiseerde misdaad.
Een substantieel deel van traditionele georganiseerde misdaad heeft inmiddels de overstap naar cybercriminaliteit gemaakt. Klassieke delicten (bankoverval, afpersing, fraude) worden door gebruik van internet verrijkt. Maar er ontstaan ook nieuwe vormen van criminaliteit.
Computer/cyber ondersteunde misdaad = mensen die zich bezig houden met normale misdaad waarbij gebruik gemaakt wordt van computers om efficiënter en op grotere schaal te opereren. Klassieke delicten worden mede door gebruik van ict gepleegd. Voorbeelden daarvan zijn acquisitiefraude, fraude met betaalmiddelen, beleggingsfraude, productie en verspreiding van kinderporno, fraude op online handelsplaatsen, telecomfraude, voorschotfraude, skimming, bedrijfsspionage, afpersing en ladingdiefstal.
Cybercrime wanneer mensen daadwerkelijk inbreken in computersystemen en dan de interne informatie gebruiken om
financieel of commerciele winst te behalen. Cybercrime is een delict waarbij informatie- en communicatietechnologie van wezenlijk belang is voor de uitvoering ervan []
Er is nog een derde manier waarop ict gebruikt wordt door criminelen: in hun strijd tegen politie en justitie maken zij gebruik van verschillende simkaarten, hotspots, VoIP-programma’s, chatprogramma’s, online opslagdiensten, cryptofoons, stemvervormers, stealthphones, gsm-afluisterzenders, gsm- en gps-jammers, peilbakens en sweepers. Het Tor-netwerk wordt gebruikt voor wapenhandel, mensenhandel, drugshandel en handel in gestolen creditcards, maar ook om liquidaties te regelen [Nationale Dreigingsbeeld 2012].
Het is een misdaad zonder geweld. Trekt ook andere soorten mensen aan.
Oorlog is het gebruik van militaire kracht om een andere natie aan te vallen en haar capaciteiten te beschadigen of te vernietigen en haar wil tot verzet te breken. Een cyberoorlog is een militair conflict tussen nationale staten dat in de virtuele ruimte wordt uitgevochten met de middelen van informatie- en communicatietechnologie. Een cyberoorlog bestaat uit militaire operaties die zich met zuiver digitale middelen richten op het manipuleren, ontregelen, degraderen of vernietigen van computersystemen en infrastucturele netwerken van een vijandige macht of mogendheid.
- Misdaad op afstand
De klassieke misdaad —diefstal, bankroof, wapen- en mensensmokkel, drugscriminaliteit— zijn fysiek van aard. Er zijn mensen en objecten die van plaats veranderen en die de grens overgaan. Bij een cybercrime is er geen fysiek contact tussen misdadiger en slachtoffer en worden ook geen objecten van plaats veranderd. Cybercrime is een «delict op afstand» een «teledelict».
Cybercriminaliteit voltrekt zich in een andere wereld: de cyberwereld. Daarbij is de fysieke afstand tussen crimineel en slachtoffer van geen enkel belang. Het enige dat van plaats veranderd en razendsnel over alle grenzen heengaat zijn bits en bytes. Cybercrime vindt plaats in een virtuele wereld van onzichtbare knooppunten in elektronische netwerken.
- Programmacode als inbraakijzer
Het instrumentarium waarmee een cybercrime wordt begaan is geen hardware (wapens, breekijzer, springstof), maar kwaadaardige software (malware). Het zijn digitale programmacodes waarmee beveiligingen van computers en communicatienetwerken worden gekraakt, gevoelige informatie wordt gestolen of veranderd, of waarmee de controle over computers wordt overgenomen.
- Geen fysieke sporen
- Drempelverlaging
Cybercrime is laagdrempelig. Het kost een aanvaller bijna niets om een digitaal breekijzer (crimeware) aan te schaffenin vergelijkingmet de winst die het kan opleveren. Cybercriminelen kunnen snel schade toebrengen, vanaf iedere plek aan iedereen op de aardbol, tegen verwaarloosbare kosten. Om cybercrimineel te worden hoef je geen computergenie te zijn. Je hoeft zelf geen onderzoek te doen naar kwetsbaarheden in programmacode en je hoeft daarvoor zelf ook geen exploitatiemethodiek te ontwerken.
Nieuwe actoren:
De digitale technologie heeft individuen krachtiger gemaakt als nooit tevoren. Teenagers die alleen opereerden zijn erin geslaagd om controlesystemen van vliegvelden te ontregelen, grote online webshops plat te leggen en om de handel op de Nasdaq-beurs te manipuleren. En wat individuen kunnen, dat kunnen organisatie ook en meestal beter.
Een georganiseerde cyberbende kan goed gestructureerd opereren zoals de traditionele maffia. Maar het kan ook een kortdurend project zijn van een groep die een specifieke online misdaad begaat of een specifiek slachtoffer of groep als doelwit kiest. De meeste cybercrimes worden uitgevoerd door criminelen die opereren in los verbonden clandestiene netwerken en niet zozeer in formele organisaties. Een cybercrime kan ook door individuen worden begaan die alleen opereren maar die verbonden zijn aan een groter crimineel netwerk, zoals aan de ondergrondse Tor-site van het ‘darknet’. Hoewel criminele in losse netwerken opereren wonen de leden toch vaak relatief dicht bij elkaar zelfs wanneer hun aanvallen cross-nationaal zijn. Zij opereren vaak in kleine lokale netwerken, of in groepen de gecentreerd zijn rond familieleden en vrienden.
Hierdoor kunnen ook relatief kleine, in gedecentreerde netwerken georganiseerde vijanden van een natie met uitzicht op succes een cyberoorlog beginnen.
De cyberoorlog heeft dus ook nieuwe acteurs: individuele hackers, niet-gouvernementele organisaties, terroristische organisaties, en andere niet-statelijke actoren.
- Crimineel werktuig voor iedereen toegankelijk
Bijna alle middelen waarmee een cybercrime kan worden begaan, zijn op het internet vrij verkrijgbaar: inbraaksoftware en constructiekits voor mailware, procedures en lijsten met tips en trucs, cursussen voor aspirant, gevorderde of gespecialiseerde crackers, wederzijds advies en steun. Via internet verwerven crackers specialistische kennis van de instrumenten waarmee computers en communicatienetwerken kunnen worden gepenetreerd om informatie te stelen, te wijzigen of ontoegankelijk te maken, of om mobiele communicaties af te tappen, te manipuleren of te blokkeren.
- Complexiteit en strategisch overzicht
De technologieën waarmee cyberoorlogen worden uitgevochten vereisen vergaande decentralisatie van commando en controle. Zij bieden echter ook een groter overzicht over het hele strijdterrein (‘topsight’). Door een beter begrip van het hele strategische plaatje wordt het management van complexiteit versterkt.
- Escalatie en afschrikking
In de virtuele oorlogsvoering kunnen ver verwijderde conflicten direct naar het hart van de aangevallen natie worden verplaatst. Kleinschalige of lokale conflicten kunnen zeer snel escaleren tot nationale of internationale cyberstrategische confrontaties. Cyberoorlogen vertonen een inherente tendens tot escalatie die zich nauwelijks meer beperkt worden door de kracht van de afschrikking (die het uitbreken van een nucleaire oorlog tot nu toe heeft voorkomen).
- Attributieprobleem: loochenbaarheid en strafbaarheid
Cyberaanvallen kunnen gemakkelijk worden geloochend en zijn moeilijk te bestraffen. Meestal is het onduidelijk wie het cyberdelict heeft begaan. Omdat het moeilijk is cybercriminelen (tijdig) te identificeren, is het meestal ook niet mogelijk om gerichte tegenmaatregelen te nemen.
Een aanval op een computernetwerk kan niet direct worden toegeschreven aan specifieke actoren. Omdat er gebruik gemaakt wordt van zombie-computers blijft niet alleen de identiteit van cybercriminelen, maar ook hun geografische lokatie onduidelijk.
Een toetsaanslag reist in ongeveer 300 milliseconde twee keer rond de wereld. Maar het forensisch onderzoek dat nodig is om een cybercrimineel te identificeren kan weken, maanden en zelfs jaren duren — als het überhaupt al lukt om dit te doen. Het is extreem moeilijk om vast te stellen waar een cyberaanval precies vandaan komt en wie daarvoor verantwoordelijk is. En als je niet weet aan wie je een cybercriminele aanval kunt toeschrijven, is het onmogelijk om zo’n delict te bestraffen.
In cyberspace loopt de verdediging structureel achter op de criminele aanval: tegenmaatregelen komen altijd te laat en vaardige cybercriminelen vinden altijd weer nieuwe zwakke plekken.
|
Attributieprobleem belemmert afschrikking
Het attributieprobleem belemmert de mogelijkheden van afschrikking. Cybercriminelen worden alleen maar afgeschrikt wanneer de pakkans relatief groot is en de te verwachten straf zwaar [Boebert 2010].
Van afschrikking is sprake wanneer een potentiële wetsovertreder afziet van criminele actie omdat de kans groot is dat hij/zij hiervoor gestrafd zal worden. Dit is gebaseerd op de vooronderstelling dat cybercriminelen rationele keuzes maken en dat het verhogen van de kosten van illegaal gedrag hen ervan weerhoudt om een delict te plegen. In werkelijkheid plegen cybercriminelen vaak impulsief een misdaad (al dan niet onder invloed van drank, drugs of uitzichtloze hoge schulden) of gewoon omdat de gelegenheid tot zelfverrijking zich plotseling aandient.
Zelfs als criminelen rationeel proberen te opereren dan wordt de rationaliteit van hun beslissingen beperkt door de gelimiteerde informatie waarover zij beschikken (hun kennis van de wetgeving en van opsporingsmethoden). Alleen de technologisch en juridisch slimste cybercriminelen zijn in staat om hun pakkans realistisch in te schatten. Bovendien blijkt uit vele studies dat het opvoeren van de hoogte van de straf geen effectieve afschrikkende werking heeft. Vooral niet omdat potentiële wetsovertreders vaak zeer beperkte kennis van het strafrecht hebben [Guitton 2012].
Beperkte rechtsmacht
Daarbij komt direct het probleem van de beperkte jurisdictie (= rechtsmacht) om de hoek kijken. Wanneer cybercriminelen vanuit andere landen delicten begaan, dan hebben opsporingsautoriteiten niet automatisch het recht om hun onderzoek in dit vermoedde land van herkomst uit te voeren. De rechtsmacht heeft betrekking op het gebied waarover een overheidsorgaan bevoegd is.
De jurisdictie is dus altijd specifiek geografisch afgebakend door het territorialiteitsbeginsel. Volgens internationaal recht zijn de jurisdictie van de wergevende en uitvoerende macht beperkt tot het grondgebeid van de staat waartoe zij behoren. Zij hebben dus geen rechtsmacht over het grondgebied van andere soevereine staten. Politie en veiligheidsdiensten van het ene land hebben geen bevoegdheden (en mogen dus geen zelfstandige handelingen verrichten) in het andere land. Dit impliceert alleen de dader van een strafbaar feit dat in Nederland gepleegd ook in Nederland vervolgd kan worden.
Binnen de Europese Unie zijn verdragen gesloten die de politie beperkte jurisdictie geven op het grondgebied van andere lidstaten. Zo mag de politie op grond van het Verdrag van Schengen in geval van observaties en achtervolgingen deze activiteiten onder bepaalde voorwaarden voortzetten wanneer ze tijdens de uitvoering een grens met een andere lidstaat passeren.
Aan gene zijde van nationale grenzen: Schengen-akkoorden
Grensoverschrijdende operationele samenwerking met andere Europese staten werd mogelijk door het verdrag van Schengen. Door het wegvallen van de personencontrole aan de binnengrenzen van de EU vergrootte het werkterrein en uitwijkmogelijkheden voor criminelen. Daarom werden er in het verdrag bepalingen opgenomen over politionële samenwerking: onder voorwaarden mochten wederzijdse politiediensten elkaar hulp verlenen, observatie voortzetten en achtervolgingen op heterdaad voortzetten tot op het grondgebied van een andere lidstaat.
De Schengenakkoorden stimuleerde intensievere politiële samenwerking en kende een geclausuleerd recht toe om personen tot buiten het nationale grondgebeid te observeren of te achtervolgen. De nationale polite mag achtervolgingen voortzetten in alle landen die open grenzen hebben (geen paspoortcontroles). De politie van Schengenlanden mag tien kilometer over de grens van een ander Schengenland rijden en hoogstens 45 minuten zonder toestemming wapens dragen in een ander Schengenland. Leidend beginsel is dat agenten zich richten naar de bevoegdheden van het land waarin men op dat moment opereert.
Het Schengen Informatie Systeem (SIS) is een geavanceerde databank waarmee de verantwoordelijke autoriteiten van de Schengenlanden gegevens over bepaalde categorieën personen en goederen kunnen uitwisselen. Het SIS (op nationaal niveau Sirene) is een internationaal geautomatiseerd
signaleringssysteem van personen en goederen. Het wisselt informatie uit over terrorisme, databankgegevens over DNA en vingerafdrukken. De databank bevat informatie over mensen die gezocht worden, mensen die grote delen van de Europese Unie niet in mogen, vermiste personen, gezochte getuigen en verdachten en gestolen voorwerpen. Het doel daarvan is het verbeteren van de samenwerking en coördinatie tussen de politiediensten en de justitiële autoriteiten om de binnenlandse veiligheid van de lidstaten te behouden en met name om de georganiseerde misdaad te bestrijden.
In de praktijk lijkt het SIS vooral gebruikt te worden om de immigratie te beperken. Bovendien is de kwaliteit van de informatie slecht en daarom onbetrouwbaar. “De Duitse Federale Datenschutzbeauftragter, een privacy waakhond, toonde in 2004 aan dat 20 procent van de onderzochte Duitse signaleringen gebaseerd is op een onjuiste rechtsbasis, ofwel niet terecht. In Frankrijk bleek tussen 2003 en 2005 40 tot 45 procent van de onderzochte signaleringen onjuist of onrechtmatig. In totaal zijn er ruim 17 miljoen signaleringen in het SIS opgenomen, waarvan 1 miljoen mensen” [Europese politie en justitie samenwerking].
|
- Statische verdediging werkt niet
De verdediging van de computersystemen en netwerken tegen cybercriminelen is zeer lastig. Preventieve en defensieve maatregelen moeten áltijd succesvol zijn om cybercriminele aanval te pareren, terwijl een criminele aanval maar één keer succesvol hoeft te zijn. Criminele cyberaanvallen kunnen eindeloos worden gevarieerd, terwijl verdedigingen slechts zo sterk zijn als hun zwakste schakel.
In cyberspace vindt een permanente wedloop plaats tussen criminelen en rechtshandhavers. Cybercriminelen zijn daarbij niet alleen feitelijk maar ook structureel in het voordeel. De bad guys worden steeds beter en zijn sneller dan ooit. De good guys hebben vaak al moeite om hierop alleen maar te reageren. Een louter passieve en reactieve verdediging van computersystemen en communicatienetwerken wordt steeds minder effectief.
De meest doorslaggevende strategische factor in de ontwikkeling van cybercrime is de toegang tot de kennis en vaardigheden die nodig zijn om doeltreffende cyberoperaties uit te voeren. Om niet achter te lopen in deze wedloop vindt een strijd om het intellect plaats. Politie, justitie en veiligheidsdiensten proberen talenten te rekruteren uit hackerskringen die weten hoe zij computersystemen kunnen kraken en manipuleren; zij organiseren speciale opleidingen om een toekomstige generatie van cyberrechercheurs te kwalificeren.
Het grootste gevaar in deze strijd om het intellect schuilt vaak in de eigen organisatie: ontevreden personeelsleden en rancuneuze ex-werknemers die zich laten rekruteren door criminele bendes.
Cybercriminele bendes plaatsen advertenties op de zwarte internetmarkt om talentvolle hackers te rekruteren. Een van de bazen van een cybercriminele syndicaat bood een Ferrari aan voor de hacker die de beste zwendel kon bedenken [Independent, 11.5.12].
- Kunst van de misleiding
Misleiding
|
|---|
Cybercriminelen manipuleren computersystemen en communicatienetwerken. Zij verspreiden virussen, wormen en Trojaanse paarden die listig langs beveiligingsmechanismen zoals firewalls en virusdetectoren sluipen en zij verrijken zich met behulp van de informatie die zij wederrechtelijk vergaren. Cybercriminelen bereiken hun doelstellingen echter niet alleen door het manipuleren van digitale codes.
Cybercriminelen maken gebruik van de mogelijkheden om de perceptie in cyberspace te manipuleren. Gebeurtenissen kunnen via multimediale technieken volledig worden gemanipuleerd en snel over het internet worden verspreid. @@@ UITWERKEN
- Geen schone misdaad
Cybercrime lijkt een ‘schone’ misdaad. Er komt geen fysiek geweld aan te pas en niemand wordt verwond of gedood. Maar er zijn wel individuele en institutionele slachtoffers die van hun geld worden beroofd.
Een cyberdelict wordt gepleegd met louter of primair digitale middelen. Maar in haar gevolgen kan een cyberdelict voor de slachtoffers even schadelijke gevolgen hebben als een straatroof of een fysieke gijzeling.
Traditionele criminelen gebruikten wapens, breekijzers,en explosieven om een buit te veroveren. Deze instrumenten zijn ‘dom’ in vergelijking met de menselijke en kunstmatige intelligentie die in criminele software is ingebouwd.
| Kenmerken |
Gevolgen |
Kwetsbaarheid
Kwetsbaarheid van digitale en materiële infrastructuren voor cyberdelicten is groot. |
In cyberspace bestaan geen veilige havens of verdedigbare grenzen. |
Lage toegangskosten
kwaadaardige software en digitale breekijzers zijn voor iedereen vrij en tegen verwaarloosbare kosten toegankelijk. |
Verspreiding van inbraaksoftware is oncontroleerbaar. Hierdoor niet alleen zeer veel malware in omloop, maar ook veel criminele actoren in cyberspace. |
| Strategische informatie over criminele dreigingen niet beschikbaar. |
Cybercapaciteiten van cybercriminelen zijn moeilijk in te schatten. |
Anonimiteit & Lokaliteit
Identiteit en lokaliteit van cybercriminelen is moeilijk te achterhalen. |
Attributie
Niet weten wie de cybercrimineel is en waar deze zich bevind. Opsporingsoperaties zijn daarom problematisch. Pakkans voor cybercriminelen is laag. |
Veel slachtoffers
Cybercriminelen richten zich meestal op meerdere doelwitten tegelijk. Gelijktijdig worden inbraken gepleegd op honderdduizenden, miljoenen of zelfs miljarden computers. Malware verspreid zich zeer snel. |
Cybercrime treft zeer grote aantallen slachtoffers die over de hele wereld zijn verspreid. |
Schade
Beoordeling van aangerichte schade is moeilijk: veel slachtoffers merken niet dat zij bestolen zijn, of geven het delict niet aan — uit persoonlijke schaamte of strategische overweging zoals reputatieverlies. |
Onvolledige en onbetrouwbare informatie over implicaties van cybercriminaliteit. Betrouwbare schattingen van individuele, organisationele en maatschappelijke kosten van cybercrime zijn lastig. |
Snelheid & Variatie
Cybercriminele operaties voltrekken zich in een zeer kort tijdsbestek. Door vergaande automatisering van de cyberkraak en veel variatie in aanvalspatronen (flexibel, snelontwikkelend) |
Door criminele exploitatie van nog niet bekende kwetsbaarheden (zero-day lekken) en talloze variaties op bestaande malware is passieve verdediging (het d.m.v. firewalls en virusdetecties tegenhouden van reeds bekende malware) steeds minder effectief. |
Gedistribueerd
Computersystemen en netwerken van actuele en potentiële slachtoffers worden door cybercriminelen verkend en gepenetreerd, geheime en gevoelige informatie wordt gestolen; zij worden geïnfecteerd met kwaadaardige software waarmee de controle wordt overgenomen. |
Veel computersystemen en netwerken staan al onder controle van cybercriminelen zonder dat de eigenaars en beheerders van die systemen en netwerken daar erg in hebben. Zombie-computers van een crimineel botnet werken zonder medeweten van hun eigenaars mee aan cybermisdaden (het zijn naïeve medeplichtingen). |
|
Veiligheid: kwetsbaarheden van ICT |
|---|
Net als in de lokale wereld vindt er in cyberspace een permanente wedloop plaats tussen criminelen en rechtshandhavers. De cybercriminelen zijn daarbij feitelijk maar ook structureel in het voordeel. Om criminaliteit op of via het internet te bestrijden moeten we de aanvalsmethoden van cybercriminelen begrijpen.
Risico’s van ICT: onveiligheid & kwetsbaarheid
Computernetwerken hebben een uniek vermogen om in zeer uiteenlopende omstandigheden te overleven. Maar dat betekent allerminst dat zij ook daadwerkelijk veilig of onkwetsbaar zijn. Hoe robuust zijn onze computersystemen bij interne balansverstoringen en hoe kwetsbaar of weerbaar zijn zij tegenover vijandige aanvallen van buitenaf?
- Veiligheid (safety) Robuustheid
|
Safety & Security
Veiligheid (safety) refereert aan de nooduitgang van een druk bezochte ruimte die als vluchtweg dient. Maar diezelfde nooduitgang refereert ook aan een deur die beveiligd moet worden om ongenode gasten van buitenaf te weren (security). Dit simpele voorbeeld laat zien dat veiligheid en beveiliging zeer nauw met elkaar verbonden zijn en vaak naadloos in elkaar overlopen. |
De onveiligheid van computersystemen en netwerken komt voort uit interne balansverstoringen als gevolg van menselijke fouten en falen van technologische middelen. Computersystemen en netwerken kunnen van binnenuit ontregeld worden door mensen die ongewild en zonder speciale bedoeling fouten maken, en door technologische systemen die slecht ontworpen of slecht geprogrammeerd zijn. Kleine lokale balansverstoringen kunnen grootschalige ‘waterval fouten’ tot gevolg hebben die zich door het hele netwerk verplaatsen. Als de belasting te groot is wordt deze doorgeschoven naar de volgende buren [Watts 2000; Gladwell 2000].
- Beveiliging (security) Weerbaarheid
Computersystemen en netwerken zijn slechts tot op bepaalde hoogte bestand tegen kwaadaardige aanvallen van buitenaf [Barabási 2002:118]. Beveiliging is een manier van omgaan met risico’s die voortvloeien uit externe balansverstoringen door kwaadwillende derden die zich van clandestiene methoden bedienen. Er is dus altijd sprake van kwade opzet [Talbot/Jakeman 2008; Gulijk 2011].
De schaduwzijde van de informatie- en communicatietechnologie is haar onzekerheid. Die onzekerheid is zowel intrinsiek (de technologie kan falen) als extrinsiek (zij is niet bestendig tegen aanvallen van buiten af).
Complexiteit, productie en gebruik
Internet is een robuust netwerk dat van buitenaf niet gemakkelijk uit de digitale lucht of de virtuele wolken is te blazen. Maar al die computersystemen en netwerken kennen ook een aantal interne faalpunten waardoor zij onveilig worden: (a) de omvang en complexiteit van de software, (b) de ongecontroleerde, en dus onveilige wijze van hard- en softwareproductie, en (c) de slordige, onverantwoordelijke manier waarop mensen met hun computers en netwerken omgaan.
- Omvang en complexiteit van software
De computerprogramma’s waarmee we werken zijn zeer omvangrijk en uitermate complex. Die omvang en complexiteit van onze software is de afgelopen decennia dramatisch toegenomen en deze trend zal zich in de toekomst verder doorzetten. De vraag naar complexe softwaresystemen is echter veel sneller toegenomen dan het vermogen om ze te ontwerpen, te implementeren, te testen en te onderhouden [Lyu 2005]. We zijn op gevaarlijke wijze afhankelijk geworden van grote softwaresystemen waarvan het functioneren niet goed begrepen wordt en die vaak op onvoorspelbare wijze falen. Complexiteit is de grootste vijand van beveiliging.
Software is robuust waneer er slechts zelden fouten optreden die slechts kleine onaangenaamheden met zich meebrengen en geen grotere schade of verliezen veroorzaken. Maar door de omvang van de huidige computerprogramma’s is robuuste software (safeware) een zeldzaamheid.
|
Open Source Software is niet noodzakelijk beter of veiliger. Dit type niet-commerciële software, waarvan de ontwikkelingscode openbaar toegankelijk is, wordt door een veelvoud van programmeurs gezamenlijk ontwikkeld: “given enough eyeballs, all bugs are shallow.” Open source software bevat daarom veel minder programmeringsfouten (metingen laten zien dat het foutenpercentage 0,02% is). Maar ook deze systemen zijn nog altijd veel te complex en bieden daarom nog voldoende ingangen voor geraffineerde aanvallers.
|
Cyberspace wordt geregeerd door laws of code (Lawrence Lessig) die door mensen zijn gemaakt en ontworpen zijn om de meest uiteenlopende doelen te dienen. De besturingssystemen van Windows en Apple bevatten elk meer dan 80 miljoen regels code. De Linux Kernel bevat slechts 15,9 miljoen regels, maar de Linux Debion 5.0 bevat maar liefst 324 miljoen regels code. Elke regel bevat een aantal instructies of een bepaalde informatie. Alleen al de omvang van het aantal coderegels biedt vele mogelijkheden om programmeringsfouten te maken.
Bij commercieel geproduceerde software ligt de foutenmarge tussen de 1,5% en 5%. Met meer dan 80 miljoen regels betekent dit dat er gemiddeld zo’n 1,2 tot 1,4 miljoen fouten zitten in de besturingssoftware. Lang niet al deze fouten zijn veiligheidslekken die door hackers kunnen worden uitgebuit. Maar een geraffineerde aanvaller is desondanks in staat enige tienduizenden van deze fouten uit te buiten. Er zijn dus zeer veel invalswegen die gesloten moeten worden om de software echt veilig te maken. Maar dat is allesbehalve eenvoudig.
|
Een miljoen coderegels
Als je een miljoen regels code afdrukt, levert dat 18.000 pagina’s op (25 Ulyssess). Dat is een stapel van meer dan 1,80 meter. Een miljoen coderegels bevatten ongeveer 20 miljoen instructies, of 600 miljoen bits. Een miljoen coderegels vereisen 40.000 pagina’s externe documentatie. In een miljoen coderegels zitten gemiddeld 100.000 fouten (pre-test). Alleen bij de allerbeste bedrijven zitten er na het testen gemiddeld nog 1.000 fouten in de software. Het schrijven van een miljoen coderegels kost tussen de 20 en 40 miljoen dollar [Ganssle 2008].
Statistisch onderzoek laat zien dat er gemiddeld 2 à 3 fouten worden gemaakt in elke 1.000 regels code. Bij software waarbij de uitval mensenlevens kan kosten, zoals bij militaire of ziekenhuissystemen, wordt een foutdichtheid van < 0,5 fouten per 1.000 regels code nagestreefd. Meestal wordt gestreefd naar een foutdichtheid van < 2, normaal is 2-6 en acceptabel (alleen in de sfeer van het web) is 6-10. Meer dan 10 fouten geldt als wanprestatie en kan voor een rechtbank tot compensatiebetaling leiden.
Voor elke 7-10 regels nieuwe of gewijzigde code wordt 1 fout geïntroduceerd. Zelfs als 99% van die fouten wordt geëlimineerd voordat de software wordt gelanceerd, resulteert dit in 1 tot 1,5 fouten in elke 1.000 regels nieuwe en gewijzigde code. Meer dan 90% van de kwetsbaarheid van software wordt veroorzaakt door programmeringsfouten. De defecten die ontsnappen aan het testen, worden geëxploiteerd door hackers om cyberaanvallen te lanceren.
Elke ervaren programmeur weet dat softwarefouten onvermijdelijk zijn. Zij zijn een natuurlijk onderdeel van het evolutionaire proces dat de meeste toepassingen doorlopen [Beckett/Putnam 2010]. De meeste veiligheidslekken zijn het gevolg van fouten die onbewust geïntroduceerd zijn tijdens het ontwerp en de ontwikkeling van software. Foutenreductie is een voorwaarde voor veilige software ontwikkeling [Noopur 2005].
De software die gebruikt werd voor de eerste maanlanding in 1969 bevatte ongeveer 7.500 regels code. De gemiddelde mobiele telefoon bevatte in 2005 al 2 miljoen regel software code. In 2008 was dit al gestegen tot 5 miljoen en voor de Android tot 11 miljoen. Volgens General Motors bevatten haar auto’s nu al zo’n 100 miljoen coderegels.
|
Ten eerste weten we niet precies wat een veiligheidsrisico is. Er zijn diverse instrumenten waarmee fouten in de programmeringscode kunnen worden opgespoord (bug-tracker), maar er zijn nog geen betrouwbare geautomatiseerde procedures om software op fouten te testen. Slechts een aantal bekende standaardfouten kan automatisch worden opgespoord. Er zullen altijd achterdeurtjes zijn en een hacker zal altijd een weg naar binnen weten te vinden. Ten tweede worden er regelmatig nieuwe aanvalsvarianten gevonden waarvan het risico (d.w.z. de kans op het optreden van een succesvolle aanval en de schade als gevolg daarvan) niet was voorzien.
Er is nog een derde probleem: de behoefte aan nieuwe applicaties en functionaliteiten in de markt is wezenlijk groter dan de behoefte aan veiligheid. Er worden meer nieuwe programma’s ontwikkeld dan er ooit getest kunnen worden. De paradox is: hoewel er meer geïnvesteerd wordt in IT-beveiliging, daalt de veiligheid elk jaar verder [Gaycken 2012:42]. Er worden elke dag veel meer onveilige producten, toepassingen, apps en (verbeteringen van) besturingssystemen op de markt geworpen dan er slechts in aanzet gecontroleerd kunnen worden. De software industrie wordt nog in sterke mate bepaald door de cultuur van: ‘Deliver now, fix later’ [Seshagiri 2011].
Veiligheidsrisico‘s en beheersingsproblemen vloeien in belangrijke mate voort uit de toenemende complexiteit van de software [McGraw 2006]. Bij veel van de huidige softwaresystemen zijn er zoveel potentiële interacties tussen de componenten dat zij niet goed meer kunnen worden gepland, begrepen en beheerst. Complexe systemen zijn altijd modulair opgebouwd omdat er geen andere manier is om de complexiteit te hanteren dan deze op te splitsen in gemakkelijk te behandelen stukjes. Dit brengt echter ook beveiligingsrisico’s met zich mee omdat de beveiliging vaak faalt waar twee modules interacteren.
Sommige systemen zijn zo complex dat zij het begrip van bijna alle experts te boven gaan. Zelfs de weinige experts die ze wel begrijpen, hebben onvolledige informatie over het potentiële gedrag van de software. Hoe groter de complexiteit van de software hoe moeilijker het is om deze te actualiseren (upgraden), te onderhouden en verder te ontwikkelen — zonder dat ze instabiel wordt en zonder verlies van functionaliteit.
Met de huidige programmeringsinstrumenten kunnen meer geïntegreerde, meervoudige terugkoppelingen in systemen worden ingebouwd. Software is opgebouwd uit groot aantal dynamisch met elkaar interacterende componenten. De hechte koppeling tussen deze componenten leidt gemakkelijk tot ontregelingen: disfunctionele interacties in een deel van de software hebben verreikende effecten op andere delen van het systeem. Kleine lokale balansverstoringen kunnen grootschalige effecten tot gevolg hebben die zich door het gehele netwerk verplaatsen. Als de belasting te groot is, wordt deze doorgeschoven naar de volgende buren.
We bouwen dus systemen die ons vermogen tot intellectuele beheersing te boven gaan. De toegenomen interactieve complexiteit maakt het voor ontwerpers moeilijk rekening te houden met alle potentiële systeemtoestanden. Voor beheerders wordt het steeds lastiger om alle abnormale situaties en verstoringen veilig en effectief te behandelen [Leveson 2004].
Een hacker hoeft in zo’n complex programma slechts één losse draad te vinden om de veiligheid van het hele systeem te compromitteren. In de vele miljoenen coderegels hoeft er maar één teken gewijzigd te worden om de betekenis van een hele coderegel te veranderen, waardoor er op een andere plaats een deur wordt geopend die juist tot elke prijs gesloten zou moeten blijven [Gaycken 2012:48].
We werken met een technologie waarvan we tot in de kleinste uithoeken van de samenleving afhankelijk zijn, maar die fundamenteel onzeker en onbeheersbaar is. Naast dit louter technische probleem zijn er nog twee andere bronnen van onveiligheid: de productie en het gebruik van ICT.
- De productie van ICT
Er zijn nog te weinig krachtige impulsen om de producenten van hard- en software te dwingen om betrouwbare en veilige producten op de markt te zetten. Door de toenemende globalisering en de kapitalisering van belanghebbenden hopen de kwetsbaarheden van onze ICT zich steeds verder op.
De productie van hard- en software verloopt anders dan in een gewone wapenindustrie. De mensen die in de ontwikkelingsplatforms werken, worden niet gescreend. Een programmeur werkt nu eens hier dan weer daar, zonder dat iemand weet of deze programmeur heimelijk voor een concurrent, een geheime dienst of misdaadsyndicaat werkt. Ook de gebouwen waarin de software wordt ontwikkeld zijn meestal slecht beveiligd. Voor slimme aanvallers is het tamelijk eenvoudig om in de softwareproductie in te breken. Ze kunnen op elke plaats iemand binnensluizen die de meest uiteenlopende clandestiene acties kan uitvoeren. Een infiltrant kan veiligheidsgaten inbouwen waardoor men een directe en exclusieve toegang krijgt tot de werking van de software. Voor nationale staten is dat buitengewoon aantrekkelijk: spionage en manipulatie worden kinderspel. De kosten van een infiltrant zijn gering: 50 tot 100.000 dollar. Dat is een koopje als je voor deze som een achterdeur in een besturingssysteem dat over de hele wereld verspreid wordt kunt inbouwen.
- Software maken
Een intelligente techniek van cyberterroristen is het zelf maken van software.
Bij de productie van software kunnen Trojaanse paarden worden geïnstalleerd die op een later tijdstip geactiveerd worden om cyberaanvallen te lanceren of te vergemakkelijken.
|
|---|
Een opmerkelijk voorbeeld daarvan deed zich voor in Japan. In maart 2000 meldde het Japanse Metropolitan Police Department dat zij een software systeem had laten bouwen om de 150 politiewagens, inclusief politieauto’s zonder herkenningstekens, te traceren. Later bleek dat het programma was ontwikkeld door de Aum Shinryko sekte, dezelfde groep die in 1995 zenuwgas in de metro van Tokyo liet ontsnappen, waardoor 12 mensen werden gedood en 6.000 mensen gewond raakten. Toen het Trojaanse paard ontdekt werd, had de sekte al de geclassificeerde gegevens over 115 voertuigen ontvangen. Bovendien had de sekte software ontwikkeld voor minstens 80 Japanse bedrijven en 10 overheidsinstellingen. Mantelorganisaties van de Aum sekte hadden als onderaannemers voor andere bedrijven gewerkt, waardoor het bijna onmogelijk werd om te achterhalen wie de software eigenlijk ontwikkelde.
- Knoeien met hardware
Een andere kopzorg is de productie van microchips. De meeste commerciële chips worden in het buitenland gefabriceerd en er is al herhaaldelijk geconstateerd dat er met sommige van die chips is geknoeid. Het Amerikaanse ministerie van Defensie is ervan overtuigd dat dit het werk is van buitenlandse inlichtingendiensten. Daarom worden de microchips voor nucleaire wapens en andere geavanceerd wapentuig vervaardigd door eigen technici van Sandia National Laboratories. DARPA (de onderzoeksafdeling van het Pentagon) spendeert alleen al in 2011 minstens 20 miljoen dollar aan het identificeren van onbetrouwbare chips.
In een rapport van militaire commissie van de Amerikaanse Senaat, Inquiry into counterfeit electronic parts in the Department of Defense supply chain [21.5.2012], werd onthuld dat grote aantallen vervalste elektronische onderdelen hun weg hebben weten te vinden naar kritische defensiesystemen. Deze vervalste elektronische onderdelen waren overwegend (70%) van Chinese makelij.
Het internet en de toenemende complexiteit van elektronische circuits hebben het veel eenvoudiger gemaakt om «kill switches» en achterdeurtjes in te bouwen waarmee apparaten waarin kunnen worden ontregeld of uitschakeld. Een chip kan twee miljard transistors (elektronische schakelingen) bevatten. Dit biedt voldoende ruimte om een paar schakelingen in te bouwen die clandestien opereren. Chips kunnen zo worden ontworpen dat zij op een bepaalde datum zichzelf vernietigen. Een component die er onschuldig uit ziet of zelfs een heel klein beetje soldeer kan een verborgen antenne zijn. Wanneer een chip een radiosignaal ontvangt van een mobieltje, een vliegtuig of een satelliet kan het apparaat zichzelf opblazen, uitschakelen of anders gaan werken.
De «kill switches» en achterdeurtjes werken net als landmijnen. Ze worden door heimelijk verborgen in elektronische apparatuur totdat zij in een confrontatie worden geactiveerd. Deze landmijnen zijn bijzonder destructief omdat zij worden ingebouwd in geavanceerde wapensystemen en in de vitale infrastructuur van een land.
Een simpel maar effectief voorbeeld stamt uit de Eerste Golfoorlog in 1991. Het leger van Irak gebruikte in Noord-Amerika gefabriceerde kleurenkopieermachines om haar strijdplannen uit te werken. Dat hadden zij beter niet kunnen doen. In het elektronisch circuit van deze kopieermachines waren zenders verborgen die hun locatie verraadden. Hierdoor waren Amerikaanse gevechtsvliegtuigen in staat om meer precieze bombardementen en raketaanvallen lanceren. ‘Turning assets into liabilities’, wordt dat genoemd — maak van een lust een last [The Economist, 7.4.11].
- Computers verkopen
De supergeheime Israëlische Eenheid 8200 is gespecialiseerd op cyberoorlog. Er werken tienduizenden militairen die allerlei transmissies en elektronische signalen van naburige vijandige staten verwerken. Israëlische spionnen rekruteerden in Iran zakenlieden die elektronische apparatuur en computers importeerden en verkochten aan het Iraanse leger en het Iraanse atoomproject. De computers werden aangeleverd door de Mossad en waren geïnfecteerd met Trojaanse paarden en virussen. Zodra ze geïnstalleerd werden in de militaire of nucleaire installaties begonnen ze informatie terug te sturen naar Israë [Ronen Bergman in EenVandaag,19.11.10].
- Gebruik van computersysteem
Door de toegenomen complexiteit van onze computersystemen neemt ook de kans toe dat de mensen die daarmee werken fouten maken. Menselijk gedrag wordt beïnvloed door de context waarin het plaatsvindt en beheerders van hightech systemen zijn overgeleverd aan het ontwerp van de hard- en software waarmee zij werken. Uit onderzoek blijkt dat veel fouten die aan systeembeheerders worden toegeschreven het gevolg zijn van gebrekkige systemen en ondeugdelijk ontwerp van de interfaces. Mensen zijn vaak niet meer in staat om de risico’s die aan hun werk verbonden zijn te controleren. Veel fouten en ongelukken vloeien voort uit inadequate communicatie tussen mensen en machines [Leveson 2004].
Er zijn diverse mogelijkheden om computersystemen te manipuleren. Vaak is het al voldoende om een USB-stick een keer kort in een computer te stoppen. De malware nestelt zich in de computer en besmet vervolgens het hele netwerk. 
De geïnfecteerde computers kunnen in een botnet worden geplaatst: een netwerk van duizenden of zelfs miljoenen computers die door een cybercrimineel worden gecontroleerd en die zeer uiteenlopende kwaadaardige praktijken kan faciliteren: het versturen van spam, het faciliteren van phishing-aanvallen en online fraude, het initiëren van denial-of-service-aanvallen en het anonimiseren van de crimineel. Door het installeren van keyloggers kunnen alle wachtwoorden en creditcardnummers worden achterhaald die op een computer worden ingevoerd.
De veiligheidsrisico’s van de software waarmee gewerkt wordt zijn dus enorm. Die risico’s zijn al ingebakken in het ontwerp en de programmering van de software technologie, en ze nemen alleen maar toe bij de productie en het gebruik van ICT. Hoe grotere en complexer een systeem is, des te eenvoudiger is het voor een cybercrimineel om een zwakte te identificeren en uit te buiten.
|
Gevaarlijke accessoires
Vaak wordt vergeten dat niet alleen USB-sticks in staat zijn om malware te verspreiden, maar elk apparaat dat in een USB-poort wordt geplugged: lichten, ventilators, speakers, speelgoed en zelfs een digitale microscoop. Al deze apparaten kunnen tijdens de productie of de distributie worden geïnfecteerd [CNet, 21.11.08].
|
Niet alleen het niveau van complexiteit in IT-omgevingen van bedrijven en instellingen maakt het voor vaardige hackers makkelijk om onbekende of niet-gerepareerde kwetsbaarheden te vinden. Ook het feit dat steeds meer werknemers eigen apparaten (zoals smartphones, tablets, laptops, USB-sticks) in de organisaties brengen en gebruik maken van sociale media schept nieuw invalswegen voor kwaadaardige aanvallen van buitenaf.
Een andere grote zwakte is het netwerkontwerp. Veel netwerken zijn te plat. In platte netwerken kan vanuit elk station van het netwerk alle andere stations worden bereikt zonder tussenkomst van bewaakte bruggen of interne brandgangen. Sterk geseggregeerde netwerken zijn minder flexibel en het beheer is minder kostbaar. Maar in platte netwerken kunnen cybercriminelen makkelijk rondsnuffelen op zoek naar systemen waarin waardevolle, vertrouwelijke of geheime informatie is opgeslagen.
SNMP-lek: komt u maar binnen
|
SNMP is een hulpmiddel om netwerken mee te beheren. Je kunt er op afstand de status van een apparaat, inclusief foutmeldingen en instellingen mee aflezen en wijzigen. Het SNMP protocol is gebaseerd op het Internet Protocol (IP).
|
Soms wordt het voor hackers van computersystemen wel erg gemakkelijk gemaakt. Een voorbeeld daarvan is het lek in het netwerkprotocol dat gebruikt wordt om internetsystemen te bewaken en te configureren. In november 2012 werd ontdekt dat dit Simple Netwerk Management Protocol (SNMP) zodanig is geconfigureerd dat het kinderspel is om alle computers die daarvan gebruik maken af te tappen, de controle over te nemen of stil te leggen [Volkskrant, 1.11.12].
Gemakzuchtige van fabrikanten —waaronder CISCO—verkopen routers en modems waarop het SNMP-systeem standaard staat ingeschakeld. De meeste gebruikers hebben dat protocol niet nodig, maar schakelen het niet uit. Degenen die daar wel gebruik van maken, zouden het protocol moeten configureren om het te beveiligen, maar doen dat meestal niet. Daarom is het voor hackers zeer eenvoudig om in deze systemen in te breken.
Het beveiligingsbedrijf ITSX ontdekte het lek en scande ruim de helft van de 48 miljoen IP-adressen in Nederland. Bij 13.656 adressen waren alle instellingen en wachtwoorden uit te lezen. Bij 2.294 adressen konden de systemen volledig worden overgenomen of gecyboteerd. Daartoe behoorden ook enkele banken, supermarktketens, grote internetproviders en overheidsinstellingen.
Het rapport van het ITSX laat zien dat het slecht gesteld is met de beveiliging van infrastructuurcomponenten in Nederland.
“Hoewel SNMP veelal op interne netwerken wordt gebruikt, blijkt uit ons onderzoek dat in Nederland ook tienduizenden systemen publieke SNMP toegang aanbieden via internet waardoor hun configuratie kan worden uitgelezen. Van enkele duizenden systemen kan de configuratie door iedereen
over internet zelfs worden gewijzigd, en daarmee kan een aanvaller de controle over deze componenten overnemen.
Onder deze systemen bevinden zich gevoelige componenten als routers, firewalls en servers, voornamelijk van midden- en kleinbedrijf maar ook van enkele grote bedrijven en overheidsgerelateerde organisaties. In het scenario
dat deze componenten door een kwaadaardige aanvaller tegelijk en op afstand worden uitgeschakeld of overgenomen, kan dit leiden tot significante schade, zowel voor de individuele organisatie als wellicht ook de maatschappij.
Daarnaast kan toegang tot deze componenten worden misbruikt voor complexere aanvallen zoals het afluisteren van internetverkeer. Het verkrijgen van ongeautoriseerde toegang tot SNMP (via het internet) vormt hiermee een
reële bedreiging voor bedrijven en organisaties in Nederland” [ITSX, 1.11.2012].
|
Oude kwaal
In 2000 werd SNMP al opgenomen in de Top 19 beveiligingsproblemen [Sans 2000]. Ook daarna wordt regelmatig voor SNMP-lekken gewaarschuwd. In 2008 scanden Amerikaanse onderzoekers 2,5 miljoen willekeurige IP-adressen op problemen en vonden 5.000 kwetsbare apparaten [Guchitzen, 3.3.2008].
|
De problemen met SNMP zijn al meer dan twintig jaar bekend. maar voor de fabrikanten van die technologie was dit tot nu toe geen aanleiding om maatregelen te nemen. Providers en systeembeheerders die gebruik maken van professionele producten laten het SNMP-protocol uit gemakzucht of onkunde ongewijzigd aanstaan zonder dat zij zich bewust zijn van de risico’s die daaraan verbonden zijn. Particuliere consumenten schaffen onveilig geconfigureerde apparaten aan of krijgen deze geleverd door hun providers.
|
IP-scan is geen misdaad
Niemand vind het prettig als iemand aan de voordeur morrelt om te kijken of deze te openen is. Een IP-scan is niets anders dan het digitaal snuffelen aan de deur van een computersysteem. Er wordt niet binnengedrongen en er wordt niets gestolen, ontregeld of vernietigd. In juridische zin een IP-scan geen inbraak, ook al kan de daarmee vergaarde informatie dienen als opstap voor een daadwerkelijke cyberinbraak. Het is geen argument om een ip-scan als inbreken te kwalificeren — zoals Lodewijk van Zwieten (Officier van Justitie voor cybercrime) meent [Webwereld, 1.11.2012]. De informatie die met een IP-scan wordt verworven, kan immers ook worden gebruikt om op veiligheidslekken te attenderen en om voorstellen te doen voor reparatie.
De discussie over de IP-scan wijst erop dat er nog steeds geen duidelijke criteria zijn om te beslissen wat een ‘cyberdelict’ is en wat niet. Tot 1998 rekende het Amerikaanse Ministerie van Defensie elke poging om een telnet-verbinding (vergelijkbaar met kloppen op een gesloten deur) te leggen als een elektronische aanval [Niall McKay, in: Wired, 10.16.98.
|
|
De kracht van kwaadaardige software |
|---|
De beveiliging van computersystemen lijkt sterk op de bescherming van de bevolking tegen besmettelijke en dodelijke virussen. Het immuunsysteem van levende organismen vertoont veel eigenschappen van op internet aangesloten computersystemen. Om te overleven moeten zij in staat zijn om een onderscheid te maken fysieke of digitale codes die goed en die gevaarlijk zijn.
De pest is uitgebroken
Technisch gezien hebben cybercriminelen dus goede kansen om een systeem te breken, of nog erger: om in een systeem in te breken en met eigen bevelen te sturen zonder dat de eigenaar van dat systeem het door heeft. Het is vaak al voldoende om slechts een paar coderegels te wijzigen. Maar zelfs als daar een paar honderd coderegels voor nodig zijn, is dat altijd nog erg weinig — en die paar extra regels kunnen makkelijk worden verborgen. Op het niveau van de productie is er maar één infiltrant nodig om achterdeurtjes in de software in te bouwen of dst al in de hardware te arrangeren. Op niveau van gebruik is slechts één kort contact met usb-stick nodig om een heel netwerk te infiltreren. Met een goed voorbereidde operatie is het bijna altijd mogelijk om een organisatielid te verleiden om op een verkeerde link te klikken.
Er bestaat dus een extreem grote asymmetrie tussen verdediging en aanval: de aanval is verschrikkelijk makkelijk, de verdediging zo goed als onmogelijk. De grootste bedreiging is dat er zoveel bedreigingen zijn. Het lijkt wel of de pest is uitgebroken in cyberica. Bijna elk jaar verdubbelt het aantal virussen. In de databank van McAfee waren in 2012 al 100 miljoen unieke exemplaren malware opgeslagen [McAfee 2012]. Eind 2013 waren het er al 200 miljoen en in het tweede kwartaal van 2015 al meer dan 250 miljoen. De helft daarvan behoorde tot de dierentuin van de mobiele malware [McAfee, 2013; McAfee, 2014].
Explosieve toename van virussen
De ontwikkeling van het aantal virussen vertoont een exponentiële groei.
| Jaar |
Aantal Virussen |
| 1984 |
12 |
| 1990 |
9.000 |
| 2002 |
1 miljoen |
| 2007 |
9 miljoen |
| 2012 |
100 miljoen |
| 2013 |
200 miljoen |
| Medio 2014 |
250 miljoen |
Het AV-Test Institute registreert dagelijks meer dan 200.000 nieuwe malware programma’s — meer dan 5 miljoen per maand.
|
Er is imiddels meer malware dan legitieme software op de legale en illegale markten.
Malware varianten
Malware is kwaadaardige/schadelijke software of zo men wil schoftware. Malware is geen slechte software die schade berokkent omdat er fouten (bugs) in zitten of omdat ze slecht ontworpen is. Malware is software die opzettelijk schade veroorzaakt.
Er zijn zes basistypen van malware: virussen, wormen, Trojaanse paarden, ransomware, rootkits en botnets.
- Virussen
Een computervirus is een zichzelf replicerende programmacode die zonder toestemming van de gebruiker geïnstalleerd wordt in bestaande programma’s. Virussen hechten zichzelf aan legitieme programma’s, net zoals een parasiet zichzelf hecht aan een gastorganisme. Zij veroorzaken directe schade aan de geïnfecteerde computer, vooral wanneer zij zich nestelen in besturingssysteem. De meeste virussen zijn niet giftig genoeg om zich zelfstandig te verspreiden.
Bijna alle virussen zijn gehecht aan een uitvoerbaar bestand; de computer wordt pas besmet als dat geïnfecteerde bestand wordt geopend. Er zijn ook virussen die zichzelf automatisch installeren nadat iemand een geïnfecteerde website heeft bezocht.
Tegenwoordig zijn virussen tamelijk zeldzaam omdat cybercriminelen proberen meer controle te hebben over de verspreiding van hun malware. Bovendien worden nieuwe exemplaren snel opgenomen in anti-virusprogramma’s.
Malware programma’s lijken in eerste instantie gewone software, maar ontwikkelen andere functies zodra ze op de plek komen waar ze moeten zijn. Ze lijken steeds meer op de Transformers uit de bekende science fiction film. Ze beschikken over een heel arsenaal aan wapens en een uitgebreid repertoire spionagetechnieken. Er zijn wormen die zichzelf in verschillende stukken breken om zo door de beveiliging heen te komen en die zichzelf aan de andere kant automatisch weer in elkaar zetten — net zoals de smeltende robot T-1000 in de Terminator.
Metamorfische virussen zijn virussen die telkens een andere vorm aannemen bij elke nieuwe infectie [Aycock 2010].
|
- Wormen
Wormen zijn zelfstandige programma’s die zichzelf van computer naar computer over een netwerk verspreiden. Zonder tussenkomst van een gebruiker worden kopieën van de worm via een netwerk doorgestuurd. Wormen zijn dus zichzelf vermenigvuldigende computerprogramma’s die geen andere programma’s nodig hebben om zich aan vast te hechten. Als een worm pas schade aanricht op een vooraf bepaald tijdstip (net als bij een tijdbom) of op het moment dat de software een bepaalde verandering waarneemt, spreken we van een logische bom. Het prototype daarvoor is de codebom van Timothy Lloyd.
|
Verspreiding van wormen
De meeste wormen verspreiden zich via een ‘drive-by download’. Daarbij wordt een populaire, maar slecht beveiligde website voorzien van kwaadaardige software, die argeloze bezoekers dan (vaak automatisch) downloaden zonder het door te hebben.
Wormen kunnen zich volautomatisch verspreiden door een e-mail te genereren met een kopie van zichzelf als bijlage middels het mailprogramma van de besmette gebruiker. De ontvanger denkt dan een legitieme e-mail te krijgen omdat de afzender van de mail een bekend persoon is. Hij zal dan snel geneigd zijn de bijlage te openen, zodat zijn eigen computer ook geïnfecteerd wordt.
|
Wormen kunnen meer specifiek worden getypeerd door het soort netwerk dat zij gebruiken om zichzelf te verspreiden:
- Net-Worm: via een lokaal netwerk of het internet
- Email-Worm: via emails, of verpakt in de e-mail zelf of als bijlage.
- P2P-Worm: in bestanden verstuurd via peer-to-peer (P2P) netwerken
- IM-Worm: via instant messaging (IM) netwerken
- IRC-Worm: via Internet Relay Chat (IRC) kanalen
- Bluetooth-Worm: via Bluetooth broadcasting
- Trojaanse paarden
Trojaanse paarden repliceren zichzelf niet en veroorzaken ook niet direct schade aan de geïnfecteerde computer. Een Trojaans paard is een functie die verborgen zit een programma dat door de gebruiker zelf wordt geïnstalleerd of in een bestand dat door de gebruiker zelf op de lokale schijf van de computer wordt geplaatst. Als het legitieme bestand of programma door de gebruikers wordt gestart, zal ook het kwaadaardige programma worden gestart. De gebruiker zelf merkt hier helemaal niets van.
Via deze functie krijgt een aanvaller toegang tot en controle over de geïnfecteerde computer. Een Trojaans paard opent dus een achterdeur op de computer en biedt daardoor op afstand stiekem toegang voor een aanvaller (Backdoor Trojan). Via Trojaanse paarden wordt de vertrouwelijkheid, integriteit of beschikbaarheid van de computer gecompromitteerd, of worden de bronnen van het apparaat gebruikt voor criminele doeleinden. Gecompromitteerde apparaten worden meestal misbruikt voor het versturen van spam of voor het uitvoeren van denial-of-service aanvallen op specifieke websites, datanetwerken of mobiele telefoonnetten. Een Trojaans Paard moet door de gebruiker zelf worden gekopieerd, maar ze kopiëren zichzelf niet naar andere computers.
|
Het Paard van Troje
Het paard van Troje is een van de bekendste verhalen uit de Griekse mythologie. Het is een episode in het verhaal van de Trojaanse Ooolog. De Grieken slaagden er maar niet in om de stad Troje in te nemen. De immens hoge muur had de stad al jaren beschermd tegen de vijanden van buitenaf. Na tien jaar oorlog en talloze veldslagen bedacht Odysseus, koning van Ithaka, de ultieme list: de stad moest niet van buitenaf worden aangevallen, maar van binnenuit.
De Trojanen waren ervan overtuigd dat de muur rondom de stad hen onoverwinnelijk maakte. Op zekere dag werden zij verrast met een ontzaglijk groot houten paard dat triomfantelijk voor de muren van de stad stond. De Trojanen dachten dat ze gezegend waren door de goden en haalden het paard de stad binnen, nietsvermoedend over de ware inhoud van dit gigantische houtwerk.
De Grieken, waaronder de held van deze oorlog Achilles, hielden zich muisstil en wachtten tot diep in de nacht om het houten paard te verlaten om de stad binnen haar eigen muren aan te vallen. Met deze veldslag wonnen de Grieken na tien jaar alsnog de oorlog.
Het Paard van Troje werd een metafoor voor het binnenhalen van een gewenste zaak waarin ongewenste lading is verborgen. Wie zo’n geschenk accepteert bewerkstelligt argeloos zijn eigen ondergang. Een bekend voorbeeld uit de Nederlandse geschiedenis is het Turfschip van Breda.
|
Trojaanse paarden kunnen meer specifiek worden getypeerd door het soort acties die zij heimelijk uitvoeren:
- Trojan-Spy
Installeert spionageprogramma’s zoals keyloggers.
- Trojan-PWS
Steelt wachtwoorden en andere gevoelige informatie
- Trojan-Downloader
Download programma’s van een andere server, installeert ze en lanceert ze
- Trojan-Dropper
Draagt ten minste één kwaadaardig programma dat het op de geïnfecteerde computer installeert en lanceert
- Trojan-Proxy
Stelt cybercriminelen in staat om op afstand de geïnfecteerde computer in een proxyserver te veranderen om anoniem te opereren; de cybercrimineel anoniem allerlei illegale activiteiten ondernemen of gebruiken om kwaadaardige aanvallen tegen andere netwerken te ondernemen.
- Trojan-Dialer
Dialers zijn programma’s die je computer gebruikt om telefoongesprekken te voeren; klik op de contactnaam en je computer draait automatisch het nummer. Een Trojan-Dialer maakt hiervan misbruik door je computer telefoontjes te laten plegen naar van te voren ingeprogrammeerde peperdure pay-per minute telefoonnummers (vaak pornosites). Slachtoffers worden later met een torenhoge rekening geconfronteerd.
- Ransomware
Ransomware is een type kwaadaardige software dat door cybercriminelen gebruikt wordt en dat ontworpen is om geld van hun slachtoffers af te persen, door het encrypteren van gegevens op de harde schijf, of door het blokkeren van toegang tot het systeem. Ransomware wordt meestal verspreid doordat gebruikers achteloos een lokmail openen of een kwaadaardige website bezoeken die door de cybercriminelen is opgezet.
Als het programma eenmaal is geïnstalleerd begint het de harde schijf van de computer van het slachtoffer te encrypteren of de toegang tot het systeem te blokkeren. Er verschijnt een pop-up bericht waarin losgeld wordt gevraagd om de bestanden de decrypteren of het systeem te herstellen.
|
Scareware — een zachte vorm van dwang
Bij scareware wordt een zachte vorm van dwang toegepast om geld van het slachtoffer af te troggelen. Je ontvangt een alarmerend bericht waarin beweerd wordt dat jouw computer besmet is met een zeer gevaarlijk virus. Om deze ellende van je computer te verwijderen wordt je aangemoedigd om direct (nep)antivirusbescherming te kopen.
|
Cybercriminelen gijzelen je computer om je geld af te persen in ruil waarvoor je weer toegang krijgt tot de eigen computer (dat wordt beloofd, maar nooit gedaan). De slachtoffers worden bang gemaakt om hen te dwingen het losgeld te betalen. Op het blokkeerscherm wordt bijvoorbeeld gezegd dat de toegang tot je computer geblokkeerd is omdat er illegale software op is aangetroffen en dat je daarvoor alsnog onmiddellijk moet betalen.
In de bijzondere variant van policeware lijkt het bericht afkomstig te zijn van politiediensten of justitiële instellingen en wordt gezegd dat er kinderporno of ander illegaal materiaal op jouw computer is aangetroffen waarvoor je een boete moet betalen [voorbeeld]. Om de ‘echtheid’ van deze mededeling te vergroten wordt daarbij in het blokkadescherm soms een foto van het slachtoffer getoond die gemaakt is met de eigen webcam.
- Rootkit
Een rootkit is een type malware dat specifiek ontworpen is om zijn aanwezigheid en acties te verbergen voor zowel de gebruiker als voor beveiligingssoftware die op hun systeem is geïnstalleerd. Een rootkit nestelt zich diep in het besturingssysteem, soms zelfs al voordat het besturingssysteem opstart (deze laatste variant wordt bootkit genoemd).
Middels een rootkit is het mogelijk om lopende processen, systeemdata of bestanden te lezen, wijzigen of beïnvloeden. Cybercriminelen verwerven hierdoor een continue geprivilegieerde toegang tot de gekaapte computer (Administrator access). Een rootkit voorziet de cybercrimineel via een achterdeur van volledige toegang. Hij kan documenten stelen of vervalsen, toetsaanslagen registeren, andere software installeren en lanceren, de microfoon of camera aanzetten enz.
Omdat de rootkit zo diep in het besturingssysteem verankerd is, laat het zich bijna niet verwijderen zonder de functie van het besturingssysteem te beschadigen.
- Botnet
Een botnet is een netwerk van geïnfecteerde computers die op afstand door een cybercrimineel worden gecontroleerd. Het is een serie aan elkaar gekoppelde computers die door een worm of Trojaans paard geïnfecteerd zijn met een kwaadaardige code. Hierdoor gaan deze computers zich gedragen als een zombie of slaaf die wacht op commando’s van de botnetbeheerder (bot herder) die moeten worden uitgevoerd. Daarom wordt een botnet ook wel een zombienetwerk genoemd.
Een crimineel botnet is ontworpen om een gastcomputer (host) te infecteren en terug te koppelen naar een centrale server die fungeert als een (command & control centrale voor een netwerk van gecompromitteerde apparaten. De gekaapte computers kunnen op afstand worden bediend om criminele operaties uit te voeren, zoals het versturen van spam, het stelen van bedrijfs- of staatsgeheimen, het verzamelen van creditcardgegevens en wachtwoorden, het uitvoeren van verstikkingsaanvallen (DDoS) en het verspreiden van malware.
|
Tapijtbommen in cyberspace
Botnets kunnen als aanvalsmiddel worden ingezet, maar ook als een instrument voor een tegenaanval en van vergelding. Sommige rechthandhavers bepleiten dat zij de ruimte krijgen om zelf een botnet van machines op te bouwen die zulke grote hoeveelheden verkeer naar doelcomputers sturen dat zij niet meer gebruikt kunnen worden om criminele operaties uit te voeren. Door het gooien van tapijtbommen in cyberspace zouden criminelen worden afgeschrikt.
[Uitwerken - zie voorstellen van Opstelten-->Politieel hackrecht]
Merk op dat er wat juridische en politieke problemen verbonden zijn aan het gebruik van dergelijke tapijtbommen.
|
Nederland speelt een belangrijke rol in het verspreiden van malware en aansturen van besmette computers die onderdeel zijn van een botnet. Van alle malware die er gemaakt wordt, komt 17% uit Nederland. In 2011 was dit nog maar 11%. Nederland staat op de derde plek in de Top 10 van landen die malware verspreiden (na de Verenigde Staten en Rusland) en op plaats vijf in de Top 10 van landen met Command & Control-servers [Websense, 2013] en op plaats 3 in de Top 3 bottnetlanden [McAfeee, 23.1.13]. In 2011 werd geschat dat tussen de 450.000 en 900.000 Nederlandse computers onderdeel van een botnet zijn. Dit betekent dat 5% tot 10% van alle Nederlandse breedbandabonnees besmet is. Volgens de onderzoekers van de TU Delft is het werkelijke aantal besmette machines waarschijnlijk veel groter dan hun schatting laat zien.
Nederland staat —in 2013— op de tiende plaats van landen die voor de meeste cybercrime verantwoordelijk zijn. Met bijna evenveel cybercrime hubs als in Duitsland, Frankrijk en Italië samen [Global Security Map].
DDoS-aanvallen: klassiek en geavanceerd
Van belletje trekken naar grootschalige blokkade-acties
Een Denial-of-Service aanval is een digitale vorm van belletje trekken waardoor een computersysteem niet meer in staat is om te functioneren. Het computersysteem wordt door hackers overladen met aanvragen die niet verwerkt kunnen worden waardoor het systeem onbeschikbaar wordt voor reguliere gebruikers.
Soms is hierbij helemaal geen kwaadwil in het geding. Een klassiek voorbeeld hiervan uit pre-internet tijdperk is het Henny Huisman-effect. In 1988 organiseerde de SoundMixShow een televoting-actie die het hele PTT-netwerk platlegde. Een recenter voorbeeld is het Slashdot-effect dat optreed als er op door Slashdot een link naar een kleinere website wordt gepubliceerd die opeens door alle bezoekers wordt gevolgd.
Een Denial-of-Service aanval (DoS) maakt een website, internetdienst of server onbruikbaar voor reguliere gebruikers.
Het verschil tussen een gewone DoS-aanval en een Distributed DoS-aanval (DDoS) is dat bij de laatste de aanval wordt uitgevoerd door meerdere computers tegelijkertijd. Dat kunnen computers zijn van meerdere personen die hun acties onderling coördineren (zoals cyberactivisten vaak doen), maar heel vaak wordt hiervoor gebruik gemaakt van een botnet van gekaapte computers.
Het is uitermate lastig om een DDoS-aanval te voorkomen (een preventieve aanpak zou de inzet van een enorme overcapaciteit vereisten). Systeembeheerders kunnen eigenlijk alleen maar defensief reageren door het verkeer te beperken op het moment dat servers worden overbelast [Computerworld, 10.4.13]. Een botnet kan alleen maar onschadelijk worden gemaakt als men toegang weet te krijgen tot de command & control servers die het botnet aansturen.
Telefoonboek van het internet
Om het effect van een DDoS-aanval te versterken richten cyberaanvallers hun pijlen steeds meer op het Domain Name System. Het Domain Name System is het systeem dat op het internet wordt gebruikt om namen van computers naar numerieke adressen (IP-adressen) te vertalen en omgekeerd. Het DNS zet het webadres dat je intypt in je browser (zoals www.uva.nl) om in wat daadwerkelijk door het internet gebruikt wordt: IP-adressen (zoals 145.18.10.172). Een IP adres is een adres waarmee een netwerkkaart (NIC = Network Interface Card of Controller) van een gastheer (host) op het internet eenduidig geadresseerd kan worden binnen het TCP/IP-protocol. Elke op het internet of netwerk aangesloten computer heeft een IP-nummer waarmee deze zichtbaar is voor alle andere computers op het internet. Ze zijn te vergelijken met telefoonnummers.
DNS is dus het telefoonboek voor het internet. Als iemand in staat zou zijn om de toegang tot het telefoonboek te blokkeren, dan zou het internet daadwerkelijk niet meer kunnen functioneren.
Het Domain Name System heeft een boomstructuur. Het begint met 13 servers op het topniveau en elk daarvan communiceert met het volgende lagere niveau, die het dan doorgeeft aan een nog lager niveau, enzovoort. Wanneer er op het topniveau iets wordt veranderd, wordt dit automatisch doorgegeven aan het hele netwerk. Daarom brengt de lokale kopie van het telefoonboek je altijd precies naar de juiste plaats.
Het hele internet kan worden platgelegd als iemand het functioneren van alle dertien DNS-topniveau servers zou kunnen verhinderen. Als deze servers niet meer kunnen communiceren met de lagere echalons van het systeem, dan kunnen ook de lagere takken van de boom niet meer functioneren.
De 13 topniveau servers van het DNS zijn gevestigd in verschillende landen, maken gebruik van verschillende technologieën en zijn zwaar beveiligd. De zwakte van het DNS is tweeledig. Ten eerste genereert een DNS-verzoek meer informatie dan het verzoek zelf. Ten tweede is het relatief eenvoudig om het adres waarvanuit het verzoek wordt verstuurd te falsifiëren.
Hackers kunnen gebruik maken van deze twee kwetsbaarheden. Zij kunnen een heel leger van zombiecomputers (bots) afsturen op het IP-adres van het doelwit. Middels een botnet worden enorme hoeveelheden verzoeken aan het DNS gericht die daarop antwoord door een nog veel grotere hoeveelheid data door te sturen naar het doelwit (een klein DNS query kan een veel langere reactie opleveren). Maar hierdoor wordt niet alleen het specifieke doelwit uitgeschakeld. Als er meerdere omvangrijke botnets worden gebruikt om meerdere doelwitten aan te vallen, dan overspoelt het DNS zelf het netwerk dat zij zou moeten dienen [Woodward 2009].
Deze infrastructurele kwetsbaarheid van het internet is al langer bekend is. Maar een groot deel van de DNS-servers is nog steeds niet op de juiste wijze geconfigureerd om een dergelijke DNS-amplificatie aanval te voorkomen.
Er zijn nieuwe technologieën ontwikkeld die de DNS veiliger kunnen maken. Het meest bekende is DNSSEC (Domain Name System Security Extension) dat ontworpen is om aanvallen zoals DNS-spoofing te voorkomen. Maar zolang deze nieuwe systemen niet op brede schaal worden gebruikt, zijn ze weinig hulpzaam. Uit een onderzoek uit 2012 bleek dat 40% van de federale instellingen in de VS nog geen gebruik maakten van DNSSEC, ook al is dat het officiële overheidsbeleid.
Technet, 23.4.13].
Naar aanleiding van DDoS-aanvallen op Spamhaus concludeerde de ENISA, de organisatie voor netwerk- en informatiebeveiliging in Europa, dat de internetproviders falen om grootschalige DDoS-aanvallen via DNS amplificatie te voorkomen [ENISA, 12.4.13]. Er zijn minstens drie maatregelen die op korte termijn genomen zouden kunnen worden.
- In de eerste plaats moeten de providers hun inkomende verkeer filteren, zodat er geen pakketjes met valse afzender worden doorgestuurd. Dit is mogelijk met de techniek van ingress filtering — zoals al dertien jaar geleden is beschreven door Paul Ferguson en Daniel Senie [BCP38; BCP38.info].
- De tweede maatregel is het uitschakelen van open recursieve naamservers. Volgens een van de regels van de Best Current Practice [BCP140] kunnen de domeinnaamservers worden beveiligd tegen DNS-amplificatie aanvallen.
- In de derde plaats moeten providers zichzelf beter beschermen tegen directe DDoS-aanvallen. Zolang de internetproviders deze maatregelen niet nemen, stellen zij hun klanten bloot aan cyberaanvallen, en stellen zij hun eigen reputatie op het spel.
De bron van DNS-amplicifatie aanvallen is soms nauwelijks te vinden. Om de bron te achterhalen moeten de logs van de misbruikte DNS-server worden onderzocht. Als deze servers in het buitenland staan, is het lastig om de hand te leggen op die records. Omdat er bij deze aanvallen ook vaak botnets worden gebruikt wordt het spoor nog meer verhuld.
Klassieke en geraffineerde DDoS-aanvallen
De klassieke DDoS-aanval geeft een website of server zoveel onnodig werk te doen dat het reguliere netwerkverkeer niet meer tijdig kan worden afgehandeld.
De meest recente DDoS-aanvallen gaan veel verder dan simpele bandbreedte-aanvallen (traffic flood). Er zijn diverse DDoS-varianten: DNS-amplificatie aanval, SYN-flood aanval en de TCP ACK aanval. Bij al dit soort protocol-aanvallen worden netwerkpakketjes naar een systeem gestuurd, waarbij de verbinding niet tot stand komt. Het aantal halfopen verbindingen onttrekt steeds keer servicekracht aan het systeem. Het systeem wordt vertraagd, functies vallen uit, en tenslotte gaat het systeem zelf plat.
|
Synchronisatie-overstroming
Bij een SYN flood-aanval worden de bronnen van een server in beslag genomen door synchronisatieverzoeken terwijl de server wacht op een antwoord dat niet komt.
Er wordt een groot aantal verbindingsaanvragen met een fout IP-adres naar een server gestuurd. Bij iedere aanvraag reserveert de server een deel van het geheugen of een socket. Als de server een bericht terugstuurt met de mededeling dat hij klaar is voor de verbinding, wordt dit bericht naar het verkeerde IP-adres gestuurd. De server krijgt daarom geen bericht van ontvangst en blijft wachten op het antwoord. Alle gereserveerde bronnen blijven in gebruik.
Als er grote aantallen van dit soort valse aanvragen na elkaar worden verzonden is de server niet meer bereikbaar voor bonafide aanvragen en kan zelfs helemaal plat gaan.
|
Een tweede vorm van DDoS is application flooding. Daarbij wordt misbruik gemaakt van kwetsbaarheden van applicaties zoals een web- of mailserver. De cyberceiminelen versturen daarbij zeer grote hoeveelheden ‘http get-verzoeken’ of zetten massale halve SMTP-aanvagen op touw. Op die manier nemen zij de beschikbare diensten in beslag en kunnen zij deze applicaties uitschakelen.
Software ruïneert hardware
Apparaten en machines kunnen worden beschadigd of vernietigd door het manipuleren van de procescontrolesystemen die hen aansturen. Computers kunnen echter ook zelf softwarematig worden uitgeschakeld. Dit zijn een aantal effectieve methoden.
- Een eenvoudige methode is het manipuleren van de koeling door de ventilator. Computers moeten worden gekoeld. Als dat niet gebeurt —omdat malware de ventilator uitschakelt of de rotatiesnelheid verlaagd— raken computers oververhit.
- Een andere methode is het verhogen van het voltage. Hierdoor kan zowel het geheugen als de processor ernstig worden beschadigd.
- De firmware (software die in de hardware is ingeprogrammeerd) en de microcode (programmacode van de processor - CPU) kunnen worden overgeschreven met een nieuw programma (flashing). Zonder die geldige firmware of microcode werkt de computer niet meer. Door het installeren van foute firmware kan de hardware permanent worden beschadigd. Niet alleen het geheugen en de processoren lopen hierdoor gevaar, maar ook de harde schijven.
- Middels een Pseudo Format Attack worden continu alle sectoren van de harde schijf volgeschreven. De harde schijf raakt hierdoor in een oneindige loop van schrijf- en leesopdrachten en raakt daardoor overbelast.
- Bij een Spindown Attack laat de aanvaller de harde schrijf om de minuut in spindown mode gaan: de harde schijf schakelt zichzelf uit en dan weer aan.
- Door overklokken (overclocking) wordt de kloksnelheid van de computer verhoogt waardoor de onderdelen sneller werken dan binnen de specificatie (en garantie) van de fabrikant. De hardware wordt overbelast en raakt oververhit omdat er door het overklokken van componenten meer warmte wordt gegenereerd dan normaal.
Voor al deze cybotagetechnieken is een ruim aanbod van kwaadaardige software beschikbaar [Kotler 2011]. Alles dat door software wordt gecontroleerd, kan door malware worden verstoord of vernietigd.
Mobiele malware
“De groeiende populariteit van smartphones en tablets heeft de aandacht getrokken van cybercriminelen, die ze als een fantastische gelegenheid zien om uw gegevens en geld in handen te krijgen, of om gewoon schade aan te richten. Met dit doel zijn ze nu allerlei bedreigingen aan het ontwikkelen die ontworpen zijn om op mobiele platforms te werken” [McAfee].
Smartphones en tablets zijn mini-pc’s waarmee je ook kunt bellen. Het zijn kleine computer met veel waardevolle informatie waar cybercriminelen op azen. Net als alle andere computers zijn deze mobiele apparaten gevoelig voor malware en spyware.
Smartphones en tablets die op Android, het besturingssysteem van Google, draaien zijn bijzonder kwetsbaar voor kwaadaardige software. De applicaties van Android worden niet van te voren gecontroleerd. Dubieuze apps worden door Google pas uit de applicatiewinkel verwijderd nadat er klachten binnenkomen. Het Android platform blijft het grootste doelwit voor zowel mobiele malware als spyware [McAfee, 2012]. Meer dan 98% van de mobiele malware die in 2013 werd ontdekt is gericht op het Android-platform.
Medio 2012 werden Android smartphones geïnfecteerd met de virussen «Loozfon» en «FinFisher». De spyware wordt geïnstalleerd zodra er op een specifieke link wordt geklikt. Slachtoffers worden op verschillende manieren benaderd. In een variant werd betaald thuiswerk aangeboden waarbij men alleen maar e-mails hoefde te versturen. Een link binnen deze advertentie leidde naar een website die was geprepareerd om Loozfon op het mobieltje te zetten. Zodra Loofzon was geïnstalleerd begon het alle contactgegevens die in het mobieltje zijn opgeslagen te stelen.
FinFisher (of FinSpy) is nog veel gevaarlijker. Na installatie kan de smartphone op afstand worden bestuurd en gevolgd, waar de gebruiker zich ook bevindt. Op 15 october 2012 waarschuwde de Amerikaanse FBI de Android-gebruikers voor deze spyware [IC3, 12.10.12].
Mobiele apparaten —smartphones en tablets— zijn notoir onveilig. Slechts vier procent van die apparaten is voorzien van beveiligingssoftware. Alle mobiele apparaten kunnen worden geïnfecteerd met schadelijke software [Wired, 25.10.12].
-
Slechts bij 4% van de smartphones en tablets die in 2010 werden verkocht is een of andere vorm van mobiele beveiliging ingebouwd [onderzoek van Canalys, 4.10. 11].
- Bij minder dan 1 van de 20 smartphones en tablets is beveiligingssoftware ingebouwd [onderzoek van Juniper Research, 1.8.11].
- In 2010 werden al 2.500 verschillende soorten mobiele malware geïdentificeerd en dat aantal is sindsdien zeer sterk toegenomen [mobiThinking, 2.11.11; Symantec, jun 2011]. In 2013 werden 143.211 nieuwe modificaties van kwaadwaardige programma’s geregisteerd die op mobiele apparaten zijn gericht [SecureList, 24.2.14].
Trojaanse paarden zijn erg populair voor Android-apparaten omdat iedereen een app kan plaatsen op de Android-markt. Ze zijn erg effectief omdat zij geen technische kwetsbaarheden nodig hebben om zichzelf te installeren. Trojaanse paarden zitten verpakt in spelletjes en andere applicaties die we zelf op onze mobieltjes en tablets plaatsen. Mobiele malware verspreidt zich veel sneller dan traditionele malware omdat de doelwitten altijd aan een netwerk zijn verbonden. De meeste mobiele malware is ontworpen om geld te stelen van gebruikers. De sterke groei van het zakelijk gebruik van tablets en smartphone heeft voor nog meer mobiele malware en nieuwe veiligheidsrisico’s voor bedrijven gezorgd.
|
Tic Tac Toe / Boter Kaas en Eieren
Het is bekend dat cybercriminelen hun malware vermommen als nuttige applicaties. Tegenwoordig wordt crimeware ook verpakt in spelletjes, en vooral in spelletjes voor mobiele apparaten. Cybercriminelen concentreren zich vooral op mobiele apparaten die op het Android besturingssysteem draaien. Zij vinden steeds weer nieuwe, meer innovatieve manieren om beveiligingslekken te exploiteren.
In 2014 werd het spelletje Tic Tac Toe (Boter Kaas en Eieren) op de mobiele Adroid markt gelanceerd. Kasparsky Lab ontdekte dat de code voor het spelletje minder dan 30% van de bestandsomvang uitmaakt. De rest is functionaliteit voor het bespioneren van de gebruiker en het stelen van persoonsgegevens. Het ingebouwde Trojaanse paard verzamelt informatie over het apparaat en stuurt alle gegevens naar de commando-server van de crimineel [Securelist, 10.10.14].
Het gratis aangeboden open source raamwerk AFE (Android Framework for Exploitation) is een modulair programma dat cybercriminelen kunnen gebruiken om malware voor het Android-platform te maken die past bij hun doelstelling. Deze worden vervolgens anoniem op de onbetrouwbare Adroid markt geplaatst.
AFE bevat alle modules die een cybercrimineel zich maar kan wensen: ontsluiten van logboek van gepleegde telefoontjes, contactinformatie, inhoud van mailbox, versturen van SMS-jes, overzicht van surfgedrag op internet, opnemen van telefoongesprekkken, opvangen van beelden gemaakt met camera van het apparaat, lanceren van root exploits, op afstand bellen van elk betaalnummer vanaf het gekaapte apparaat. De malware-bouwdoos bevat ook sjablonen aangeleverd om de mobiele malware te maskeren als legitieme applicaties, zoals File Explorer, Tic Tac Toe en applicaties met grappen [InfoWorld, 3.8.12; YouTube, 3.5.13; Gupta 2013; Tweakers, 6.8.12].
|
|
Beveiliging: verdedigen tegen aanvallen van buiten |
|---|
Computersystemen en netwerken zijn slechts tot op bepaalde hoogte bestand tegen kwaadaardige aanvallen van buitenaf. Hun weerbaarheid is afhankelijk van de beveiliging. De beveiliging moet ervoor zorgen dat computersystemen weerbaar worden tegen externe verstoringen door kwaadwillende individuen die op illegale wijze proberen in te breken.
Er kan op drie verschillende manieren in computers worden ingebroken.
- via de fysieke ingang: toegang via deuren van gebouwen waarin computersystemen staan.
- via de personele ingang: toegang via de mensen die met het computersysteem werken of die deel uitmaken van een netwerk.
- via de digitale ingang: toegang tot software programma’s via internet of intranet.
Via deze drie ingangen kunnen kwaadwillende buitenstaanders clandestien toegang verwerven tot de informatiebronnen en communicatieprocessen. De weerbaarheid van computersystemen en netwerken is een samenstel van fysieke beveiliging, personele beveiliging, ict-beveiliging en informatie- & communicatiebeveiliging.
Er is een groot repertoire aan digitale aanvalstechnieken en methodieken. Computersystemen en netwerken moeten niet alleen worden beveiligd tegen relatief eenvoudige aanvallen, zoals e-mail bombardementen, webonthoofdingen en DDoS-aanvallen. Ze moeten ook worden beveiligd tegen meer complexe aanvallen met virussen, wormen en Trojaanse paarden, en tegen geavanceerde spyware waarmee communicatie wordt afgeluisted en informatie wordt gestolen. Bovendien moet in al deze gevallen worden bepaald of het gaat om vandalisme van amateurhackers, computerfraude van kleine criminelen, georganiseerde criminele bendes, terroristische organisaties, buitenlandse inlichtingendiensten of een aanval van militaire strijdkrachten.
Computersystemen en netwerken kunnen op twee manieren worden verdedigd: passief en actief. Bij een passieve verdediging worden speciale barrières opgeworpen die door een aanvaller niet kunnen worden overwonnen. Bij een actieve verdediging wordt elke zich ontwikkelende aanval direct afgeslagen en worden door vernietiging van de criminele aanvalsposities verdere aanvallen onmogelijk gemaakt.
Passieve verdediging: reactief en proactief
Bij passieve verdediging wordt geprobeerd een bescherming op te bouwen die een cybercrimineel niet kan doorbreken. Het klassieke voorbeeld daarvan is de slot op de deur of kluis om dieven dieven te verhinderen om in te breken en waardevolle objecten te stelen. De digitale variant hiervan is de firewall. Deze brandmuur zou onze computers en netwerken moeten beschermen tegen het vuur dat cybercriminelen ons aan de schenen leggen. Ze zou ons als een Chinese muur of slotgracht moeten beschermen tegen kwaadaardige aanvallen van buitenaf.
Naast firewalls zijn er hele series van passieve verdedigingsmechanismen op de internetmarkt gebracht: wachtwoordbescherming (toegangscontrole), virusscanners, detectiesystemen, encryptie.
Het blijft een kat-en-muis spel: hardnekkige criminelen proberen zoeken en vinden telkens nieuwe methoden waarmee passieve beschermingsmaatregelen worden ontweken, overwonnen, ondergraven of doorbroken. Alle passieve verdedigingsmechanismen hebben tegenover cybercriminelen al meerdere keren grondig gefaald. Ze slagen er telkens weer in de beveiligingssystemen te verslaan.
Dit heeft meerdere redenen.
Passieve verdediging is dus alleen maar effectief als de bedreiging al bekend is. De detectiemechanismen moeten bovendien zeer nauwkeurig werken zodat er niet per ongeluk bepaalde gegevens worden afgevangen die op virussen lijken (en dat is wat veel virussen doen). Daarom kan een aanvaller met virussen die slechts licht gevarieerd zijn al door de beveiligingsmaatregelen heen breken.
| Veel crackers zijn zeer getalenteerd en moeilijk te blokkeren, terwijl de beveiliging van bedrijfs- en overheidsnetwerken ondermaats is. De meerderheid van de bedrijven hebben niet eens door dat hun systemen zijn gecompromitteerd. Zij beseffen pas wat er gebeurd is nadat buitenstaanders hen dat hebben verteld.
Uit al het onderzoek blijkt telkens weer dat cybercriminelen technologisch geavanceerder zijn dan degenen die proberen hen te stoppen. Ondanks alle investeringen in beveiligingstechnologieën vinden cybercriminelen telkens weer manieren om deze beveiligingen te omzeilen om gevoelige informatie te stelen die zij kunnen monetariseren [Washington Times, 28.2.14].
|
De criminele aanvaller is de verdediger dus altijd een stap voor. De tijd die nodig is om een virus te ontdekken, haar signatuur te bepalen en op te laten nemen in de protectielijsten van de gebruikers is nog steeds veel langer dan de malware zelf nodig heeft om zich te verspreiden. Reactieve veiligheid is altijd te laat: voor een beveiligingsexpert die de bedrijfsveiligheid moet waarborgen, is dat een ernstig probleem. Passieve verdediging is slechts zo sterk is als haar zwakste schakel. Een cracker hoeft alleen maar één exploiteerbare zwakte te vinden om toegang te krijgen tot het systeem. De ‘bad guys’ kunnen overal aanvallen waar zij willen, de ‘good guys’ moeten overal verdedigen.
|
Een proactieve verdediging probeert een cyberdelict te blokkeren voordat dit slachtoffers eist. Onderdeel daarvan kan zijn het monitoren van chatrooms en webfora om individuen die seksueel misbruik willen maken van kinderen op te sporen [Penna/Clark/Mohay 2005].
|
Een proactieve verdediging stuit op andere problemen. Een van de meest beproefde proactieve beveiligingmaatregel is het monitoren van alle datastromen binnen het eigen computersysteem en tussen dit systeem en externe systemen. In de dataleidingen van het eigen netwerk kunnen meetapparaten (sensoren) worden aangebracht die op opvallende patronen in de doorstromende data detecteren (intrusion detection). De systeembeheerder kan deze software zelf configureren en bijvoorbeeld zelf definiëren wat ‘abnormaal’ is [Denning 1987; Scarfone/Mell 2007].
Terwijl een firewall alleen maar pakketjes blokkeert of toelaat is een Intrustion Detection System (IDS) in staat een aanval waar te nemen. Een IDS fungeert dus eigenlijk als een alarmsysteem. Maar bij zeer grote hoeveelheden data moet altijd rekening worden gehouden met een normale basisruis omdat er anders te vaak vals alarm gegeven wordt [Anderson 2001:387-388; Mattord 2008:290–301]. Voor een cybercrimineel is dit meestal voldoende om zijn aanvallen door de sensoren te krijgen.
Bovendien wordt de malware niet in een keer naar binnen gesluisd, maar in onderdelen die dan op een specifieke plaats in elkaar worden gezet en vervolgens voor kwaadaardige acties kunnen worden ingezet. De sensoren van het beveiligingsysteem definiëren elke afzonderlijke component van de malware als onschadelijk/ongevaarlijk. Als alle onderdelen van de malware op de bestemde plek zijn aangekomen, kan het daar zichzelf samenstellen en beginnen met het criminele werk.
De meest geavanceerde criminele malware begint haar werk in een toestand van ‘infinite sleep’ Vanuit deze slaaptoestand worden eerst een paar controles uitgevoerd voordat de malware zichzelf lanceert. Er wordt vooral gecontroleerd of de lokale harde schijf geen virtuele machine is die als honeypot is opgezet om malware te vangen. Als blijkt dat het valstrik is dan blijft de malware inactief. Soms is de code van de malware in staat om zichzelf te zodanig te modificeren dat het wel in staat is om de beveiligingsmechanismen te misleiden.
|
Misleiding van detectie- en preventiesystemen
Een intrusie detectiesysteem (IDS) is een systeem dat ontworpen is om intrusies te detecteren, of ongeautoriseerde pogingen om toegang te krijgen tot een computersysteem of netwerk en daarin iets te veranderen of te manipuleren. Dergelijke systemen kunnen netwerkgebaseerd zijn (NIDS): zij monitoren al het verkeer dat het netwerk binnen komt of verlaat en kijkt naar onregelmatige activiteiten. Zij kunnen ook gefocused zijn op individuele protocollen of applicaties.
Een intrustie preventiesysteem (IPS) is in staat een aanval te detecteren en vervolgens actie te ondernemen, door bijvoorbeeld al het verkeer van de aanvaller te blokkeren en het overige verkeer door te laten.
Een nadeel van IDS/IPS-systemen is dat er vaak te veel false positives zijn. Daarbij wordt ten onrechte alarm geslagen voor iets dat als een aanval of malware wordt aangezien. Dit kan bijvoorbeeld een e-mail zijn die is tegengehouden omdat het beveiligingssysteem het als een spam mail identificeert, terwijl het een legitieme e-mail was. Voor een effectieve proactieve verdediging is het dus van belang om de IDS/IPS-systemen goed te programmeren zodat het aantal valse alarms zo laag mogelijk te houden.
Er zijn diverse manieren waarop een intrusie detectie- of preventiesysteem (IDS/IPS) kan worden misleid. De aanval zelf kan zodanig worden gemanipuleerd dat het verschillende informatie geeft aan het IDS/IPS-systeem van het aangevallen computernetwerk. Het is onmogelijk om alle intrusies en anomalieën te identificeren [Singh 2010].
Computer immuunsysteem
Er zijn nieuwe instrumenten in omloop voor een proactieve verdediging: adaptive response tools. Daarbij wordt detectiesoftware gekoppeld aan geautomatiseerde reacties waardoor het netwerk ‘zichzelf’ verdedigt tegen aanvallen. Met gebruik van de principes van kunstmatige intelligentie wordt lenige software ontwikkeld die snel nieuwe bedreigingen kan identificeren en dienovereenkomstig kan reageren. Hierdoor kan snel en flexibel worden gereageerd op zowel op interne als externe bedreigingen. De programma’s bevatten een lijst van reacties op aanvalsvarianten die op basis van nieuwe ervaringen telkens wordt gewijzigd. De detectie/responsie software verspreidt zichzelf in alle knooppunten van het eigen systeem. Daarom blijft het de computers beschermen ook als er een lokale server uitvalt.
De inspiratiebron voor deze slimme software is de manier waarop het natuurlijke immuunsysteem functioneert. Het immuunsysteem van levende organismen heeft veel eigenschappen die gewenst zijn voor de imperfecte, ongecontroleerde en open omgevingen waarin de meeste computers opereren [Somayaji/Hofmeyr/Forrest 1997; Balthrop/Forrest/Newman/ Williamson 2004]. Een immuunsysteem maakt onderscheid tussen het ‘zelf’ en het gevaarlijke ‘andere’ en elimineert deze gevaarlijke elementen (vreemde ziekteverwekkers zoals bacteria, virussen, parasieten en giftige stoffen).
De bescherming van computersystemen tegen kwaadaardige intrusies werkt op vergelijkbare manier. Beveiligingssoftware probeert alle vreemde en gevaarlijke elementen en processen te identificeren: elke niet geautoriseerde gebruiker, vreemde code in de vorm van een computervirus of worm, niet geanticipeerde code in de vorm van een Trojaans paard of gecorrumpeerde data. Vervolgens moeten deze oneigenlijke en gevaarlijke elementen en processen gericht worden bestreden. De analogie tussen computerbeveiliging en biologische processen werd al in 1984 onderkend, toen Leonard Adleman de term computervirus introduceerde.
Stel je eens voor ...
“Consider a biological disease that is 100% infectious, spreads whenever animals communicate, kills all infected animals instantly at a given moment, and has no detectable side effects until that moment. If a delay of even one week were used between the introduction of the disease and its effect, it would be very likely to leave only a few remote villages alive, and would certainly wipe out the vast majority of modern society. If a computer virus of this type could spread throughout the computers of the world, it would likely stop most computer usage for a significant period of time, and wreak havoc on modern government, financial, business, and academic institutions” [Cohen 1987].
|
Conventionele beveiligingsmethoden concentreren zich op bepaalde kritische toegangspunten: alleen de in- en uitgangen naar het internet worden beveiligd, maar niet het hele systeem. Creatieve en bronrijke criminelen zullen weliswaar ook het internet gebruiken als zij daardoor interessante doelstellingen kunnen bereiken, maar als dat niet het geval is zoeken zij naar andere wegen: een infiltrant (een persoon die van binnenuit werkt) of een achterdeurmen die in het computernetwerk van de organisatie is ingebouwd. Op die manier wordt dan op elegante wijze voorbijgegaan aan de firewall en alle andere beveiligingsmaatregelen.
Actieve verdediging
Bij een louter passieve beveiliging staat een zwakke verdediger tegenover een oppermachtige aanvaller. Bij een actieve of dynamische beveiliging wordt elke potentiële en actuele aanval in de kiem gesmoord en worden verdere aanvallen onmogelijk (of moeilijker) gemaakt door de vijandige aanvalsposities en -lijnen uit te schakelen of te degraderen. Er zijn vier actieve vormen van beveiliging:
- Preëmptieve aanval
Bij een preëmptieve aanval probeert men om in een dreigende en onvermijdelijke geachte confrontatie een strategisch voordeel te behalen voordat die dreiging werkelijkheid wordt. Een preëmptieve aanval op infrastructuur van het vijandige informatiesysteem verhindert dat deze wordt gebruikt om effectieve aanvallen te lanceren.
|
Preventieve en preëmptieve aanvallen
Een preëmptieve aanval is niet hetzelfde als een preventieve aanval. Een preventieve aanval wordt gelanceerd om de potentiële bedreiging van een vijand te vernietigen terwijl er op dat moment nog geen aanval wordt uitgevoerd, gepland of anderszins wordt voorbereid. Een preëmptieve aanval wordt gelanceerd in anticipatie van een directe vijandelijke agressie.
Een preventieve oorlog is een daad van agressie (volgens artikel 2, sectie 4 van het Handvest van de Verenigde Naties breekt zij de vrede omdat ze de soevereiniteit van een staat aantast). Een preëmptieve aanval is een vorm van legitieme zelfverdediging. Volgens het internationale recht moet zo’n zelfverdediging voldoen aan een aantal strikte voorwaarden, zoals het beginsel van proportionaliteit (evenredigheid) en van distinctie (onderscheid tussen militaire en civiele doelwitten) [O’Connel 2012].
|
Preëmptieve aanvallen zijn vaak niet effectief omdat ze de aanvalscapaciteiten van de tegenstander niet kunnen te treffen. Een competente cyberstrateeg zorgt ervoor dat zijn aanvalscapaciteiten geïsoleerd van het internet blijven totdat ze feitelijk hun aanval beginnen. Aanvallende cybercapaciteiten kunnen gemakkelijk worden verborgen, gedistribueerd worden opgeslagen en volledig buiten het bereik van de tegenstander worden gehouden. In het gunstigste geval kunnen ze worden gelokaliseerd door personele infiltratie (spionnen en mollen).
Een preëmptieve aanval is per definitie een vijandige handeling. Daarom zullen de bevoegde autoriteiten zo’n aanval alleen maar goedkeuren wanneer ze een redelijke garantie hebben dat de effecten van de aanval beperkt kunnen blijven tot het vijandige netwerk. Maar dit veronderstelt (i) dat de offensieve vijandige krachten en/of hun ondersteuningsstructuren gelokaliseerd kunnen worden en (ii) dat zij gedegradeerd of vernietigd kunnen worden voordat ze effectief gebruikt kunnen worden.
Het netwerk dat de bron van een aanval lijkt te zijn zou in werkelijkheid wel eens slechts een tussenschakel kunnen zijn die door de aanvaller wordt gebruikt om de ware oorsprong te verhullen. De aanvaller kan zijn cyberactie ondernemen vanuit een neutraal of zelfs vriendelijk netwerk dat hij al gecompromitteerd heeft. Competente hackers beschikken over een uitgebreid instrumentarium waarmee zij bewijzen van hun activiteiten (digitale sporen) kunnen wissen (zoals utclean.c en tlnthide.c).
Preëmptieve aanval en first-strike
De Amerikaanse minister van Defensie Leon Panetta verklaarde dat cyberaanvallen net zoveel schade berokkenen als de fysieke aanvallen op 11 september 2001. Er worden geavanceerde cyberwapens ontwikkeld om cruciale controlesystemen voor utiliteiten, industrie en transport te ontwrichten en te vernielen.
“Een aanvallende natie of extremistische groep zou controle kunnen krijgen over kritische knoppen en passagierstreinen kunnen laten ontsporen of treinen geladen met dodelijke chemicaliën. Zij kunnen de watervoorziening in grote steden besmetten, of de stroomvoorziening in grote delen van het land afsluiten. Zo’n cyberterroristische aanval zou de natie kunnen verlammen en een diep besef van kwetsbaarheid creëren” [BBC 12.10.2012].
Bij een serieuze cyberaanval zal de VS daarom direct reageren met een preëmptieve actie. Potentiële agressors worden gewaarschuwd dat de VS het vermogen heeft om ze te lokaliseren en ze verantwoordelijk zal stellen voor acties die Amerikaanse belangen schaden. Het enige dat nog afgerond moest worden zijn wijzigingen in de rules of engagement waarin wordt vastgelegd in welke gevallen er direct gereageerd mag worden op belangrijke bedreigingen.
|
- Tegenaanval
Een tegenaanval is een tactiek die gebruikt wordt in reactie op een aanval. De tegenaanval richt zich tegen het informatiesysteem van de cybercrimineel tijdens of direct na de originele aanval. Het doel is om het voordeel dat door de crimineel wordt behaald tijdens een aanval teniet te doen of te blokkeren. Een tegenaanval is effectief als deze vroeg genoeg begint om alle voorbereidende activiteiten onschadelijk te maken voordat de aanval is voltooid.
Een tegenaanval in cyberspace bestaat uit vijf stadia: (i) een effectieve detectie van vijandige acties waarbij een onderscheid gemaakt wordt tussen gradaties van intrusies: van triviale sondes tot aan substantiële aanvallen; (ii) het identificeren van de bron van inkomende sondes, malware, exploits etc.: weten wie de vijand is en waar deze zich bevindt; (iii) het bepalen van vijandige intenties; (iv) het ontwerpen en in werking zetten van directe en indirecte tegenmaatregelen die proportioneel zijn aan de intensiteit van de aanval; en (v) de evaluatie van de effectiviteit van de tegenaanval.
De bron en kenmerken van een vijandige cyberaanval worden meestal pas duidelijk op het moment dat deze feitelijk wordt uitgevoerd. Net als bij preëmptieve aanvallen moet ook hier de bron van de aanval worden gelokaliseerd en gescand op kwetsbaarheden. Al deze taken moeten zijn voltooid voordat de aanvaller zijn aanval beëindigd heeft en zijn netwerk en cyberwapens van het internet heeft verwijderd.
Een tegenaanval vereist in de eerste plaats dat de originele aanval snel kan worden teruggevoerd tot de bron. We zullen nog zien hoe lastig dit is. Er zijn geen internationale overeenkomsten die het mogelijk maken om cyberaanvallers in andere landen op te sporen. Maar zelfs als de bron van een vijandige aanval betrouwbaar is gelokaliseerd, is de tijd die beschikbaar is voor een tegenaanval ongemeen kort. De aanvaller weet precies hoeveel tijd hij nodig heeft voor zijn aanval en verdwijnt daarna zo spoedig mogelijk van het cybertoneel.
Tegenaanvallen bieden geen voordelen op lange termijn. Ze elimineren de directe dreiging, maar lossen het onderliggende probleem van onveilige computernetwerken en gebrekkige beveiliging niet op. Zodra de kwetsbare systemen worden schoongeveegd van kwaadaardige software, kunnen zij direct daarna weer worden geïnfecteerd.
|
Escalatie van het conflict
De vraag is wat een aanvaller doet wanneer hij met een tegenaanval wordt geconfronteerd. De aanvaller zou kunnen besluiten om nog agressievere aanvalstechnieken in te zetten en nieuwe malware kunnen gebruiken die nog moeilijker te verwijderen is. Een worm kan bijvoorbeeld de gastcomputer vernietigen als er mee geknoeid wordt. Hierdoor verandert de gastcomputer in een soort ‘menselijk schild’ (gijzelaar) om tegenaanvallen af te schrikken [Hoskins/Liu/Relkuntwar 2005].
Juridische kwesties
Tegenaanvallen in het digitale domein verkeren per definitie in een juridisch grijs gebied. Wanneer een bedrijf of overheid een tegenaanval lanceert, kunnen zij dezelfde strafwetten overtreden als de aanvaller en kunnen zij aansprakelijk worden gesteld voor schade als gevolg van de tegenaanval. Een tegenaanval kan alleen als zelfverdediging worden gerechtvaardigd wanneer de gebruikte methode proportioneel is aan de initiële aanval, en er geen andere redelijke alternatieven waren [Karnow 2005].
|
- Misleiding
In de bestrijding van cybercrime speelt misleiding een belangrijke rol. Men kan proberen om cybercriminelen met beveiligingsmaatregelen buiten het eigen netwerk te houden.
Maar men kan ze ook op het verkeerde been zetten en ze doorsturen naar een loknetwerk (honeypot) dat onderdeel lijkt te zijn van een netwerk, maar dat daarvan feitelijk is geïsoleerd en permanent wordt gemonitord. Het is een valstrik die bedoeld is om pogingen tot ongeautoriseerde gebruik van informatiesystemen af te leiden.
De criminelen denken succesvol te zijn, terwijl ze in feite worden geneutraliseerd. Cybercriminele aanvallen moeten dan wel snel en adequaat worden ontdekt om ze tijdig te kunnen omleiden naar nepnetwerken. Het is een soort digitaal judo waarbij gebruik gemaakt wordt van het momentum van de aanval om deze af te slaan [Holdawy 2001].
De eenvoudigste manier is om een exploiteerbare kwetsbaarheid (trap door) op te zetten die de crimineel naar het virtuele nepnetwerk leidt. Zo’n nepnetwerk wordt opgebouwd achter een niet-verdedigde poort of een user account waarvan het wachtwoord gekraakt kan worden met een wachtwoordkraker. Het nepnetwerk geeft valse informatie waardoor de crimineel gaat geloven dat hij succesvol is [Spitzner 2002; Pouget/Dacier/Debar 2003].
|
Criminelen misleiden
Criminelen inspecteren internetlocaties (zoals websites) en servers om hun structuur, functies en kwetsbaarheden te achterhalen. Daarbij wordt gebruikt gemaakt van instrumenten die dit verkennend onderzoek automatiseren.
Er zijn diverse technieken waarmee criminelen kunnen worden misleid en waarmee hun automatische instrumenten onschadelijk worden gemaakt. Een verkenner (spider) kan bijvoorbeeld worden gevangen in een teerput door het maken van neplinks die nergens toe leiden. De server controleert welke informatie een crimineel ontvangt: die informatie hoeft niet waarheidsgetrouw of onschuldig te zijn. Met dergelijke tegenmaatregelen loopt de crimineel het risico al getraceerd te worden voordat er een aanval kan worden gelanceerd.
Een honeypot is een loknetwerk of lokcomputer waarin bewust kwetsbaarheden zijn ingebouwd om inbraken in het systeem te observeren. Het doel van een honeypot is dus om aanvallen te detecteren en daarvan te leren om de beveiliging te verbeteren. De zwakke beveiliging zorgt ervoor dat de honeypot een aantrekkelijk doel wordt voor criminelen. Omdat het lokaas voorzien is van uitgebreide logging, kunnen IP-adressen, hacktechnieken en werkstijlen van de cybercriminelen worden achterhaald. Een netwerkbeheerder krijgt hierdoor first hand informatie over actuele bedreigingen van zijn netwerk [Spitzner 2002]. Een honeypot kan gebruikt worden om de gegevens van de cybercrimineel zelf te achterhalen (zoals IP-adres) en op te sporen. De gegevens die door een honeypot zijn verzameld kunnen als bewijs dienen.
Een honeypot is de digitale variant van een lokauto die door de politie is geprepareerd en schijnbaar onbewaakt wordt neergezet op een plek waar autodieven vaak hun slag slaan. Als de lokauto wordt gestolen kunnen de observerende agenten van afstand de deuren en ramen vergrendelen en de motor uitschakelen. Zo worden autodieven op heterdaad betrapt.
Digitale rechercheurs misleiden
Beveiligingsexperts proberen met de honeypot-tactiek om cybercriminelen om de tuin te leiden. Maar deze valstrik kan ook door cybercriminelen worden gebruikt om digitale rechercheurs op het verkeerde been te zetten.
Een aantal beheerders van botnets hebben een interface ontwikkeld die lijkt op de admin console van het botnet. Normaliter geeft deze admin console informatie over de frequentie van de aanvallen, het aantal infecties en kan er nieuw malware mee in het botnet worden geladen.
Om digitale rechercheurs meer kans te geven om in de nepinterface te komen wordt deze bewust kwetsbaar gemaakt voor bijvoorbeeld een simpele SQL-injectie. Het inlogsysteem van het ‘admin panel’ vraagt er bijna om gehackt te worden. Het accepteert standaard wachtwoorden en wachtwoorden die gemakkelijk geraden kunnen worden. Digitale rechercheurs die deze gefingeerde admin console onderzoeken om meer te weten te komen over het botnet en de beheerders, krijgen nepinformatie en worden zo zelf om de tuin geleid [Darkreading, 3.11.10; Webwereld, 8.11.10].
De verwachting is dat dergelijke anti-forensische praktijken door cybercriminelen steeds meer gebruikt zullen worden om hun opsporing te bemoeilijken en rivalen van zich af te schudden. Cybercriminelen stellen alles in het werk om hun botnets te beschermen. Zij gebruiken monitoring scripts die kunnen detecteren of zij door rechercheurs in de gaten worden gehouden. Wanneer dit het geval is wordt het hele botnet automatisch geïnstrueerd om ze met DDos-aanvallen te overspoelen. Hierdoor wordt de analyse van kwaadaardige botnets voorkomen en politiële opsporing geblokkeerd.
|
Voor het identificeren van kinderpornografen en pedofielen wordt meestal gebruik gemaakt van twee soorten misleidingsmethodieken. De eerste is het opzetten van websites die kinderpornografisch materiaal lijken te bevatten, maar die zijn ontworpen om makers en verzamelaars van kinderporno te identificeren. De tweede methodiek is het surveilleren op chatrooms waarbij politieagenten zich uitgeven voor kinderen om personen te identificeren die proberen offline kinderen te ontmoeten.
Sommige pedofielen behoren tot de beste hackers ter wereld. Zij zijn in staat om de harddisk van iemand online te controleren om te achterhalen of iemand waarmee zij spreken werkelijke degeen is die hij zegt te zijn. Als een rechercheur zich online voordoet als een 9-jarig meisje, dan moet hij ervoor zorgen dat alles wat op de harddisk staat daarmee correspondeert (bijv. bepaalde soorten muziekbestanden, e-mails van en naar vrienden en vriendinnen over problemen op school en thuis).
Eventueel: automatisering noodzakelijk want undercover online kost zeer veel tijd. Dit bijv. in de vorm van automatische discours analyse: cognitieve modeltechnieken voor het detecteren van pedofiele verhalen; en beeldtechnieken om kinderporno op te sporen. Automatische beeldanalyse wordt lastig als er gebruik gemaakt wordt van steganografie (waarmee het bestaan van het beeld verborgen wordt in een willekeurig ander beeld) .
- Afschrikking
De vierde vorm van actieve beveiliging is de strategie van afschrikking. Door een solide cyberwapening op te bouwen probeert men potentiële en actuele vijandige staten ervan te weerhouden om een cyberaanval te lanceren. Als vijandige staten ervan overtuigd zijn dat de vergelding middels een second strike henzelf meer schade zal berokkenen dan de winst die met een cyberaanval behaald kan worden, dan zullen zij deze aanval niet inzetten.
Wanneer men als verdediger zelf sterk bewapend is, moet een aanvaller rekening houden met aanzienlijke verliezen. Als het te verwachten tegenoffensief van een verdediger voldoende groot is, dan is het voor een aanvaller niet meer rendabel om aan te vallen. Een verdediger kan dus met offensieve tegenmaatregelen het gedrag van aanvallers sturen en zich op die manier actief tegen aanvallen beschermen.
Maar hoe doe je dat in het digitale domein? Afschrikken doe je met internationale rechtsafspraken en met forensisch onderzoek naar digitale sporen. Op die manier wordt de aanvaller identificeerbaar gemaakt en kan gerichte vergelding plaats vinden.
In cyberspace kunnen vaardige cybewcriminelen dus nooit met voldoende zekerheid worden geïdentificeerd. Afschrikking is alleen maar effectief wanneer een directe vergelding mogelijk is. Vergelding met een second strike veronderstelt echter dat men precies weet wie er verantwoordelijk is voor de first strike. Wanneer het onmogelijk is om de cybercrimineel te identificeren, ondergraaft dit de afschrikkende werking van een superieure aanvalscapaciteiten. Op dit attributieprobleem zullen we nog regelmatig terugkomen.
We hebben gezien wat de mogelijkheden en beperkingen zijn van zowel actieve als passieve beveiligingsmaatregelen en verdedigingsstrategieën. Elk afzonderlijk zijn deze maatregelen en strategieën niet effectief tegenover professionele en hooggeorganiseerde aanvallen van een militaire cybereenheid. Maar als actieve en passieve verdedigingsmaatregelen synergetisch samenwerken kunnen zij elkaar versterken.
|
Cybercriminelen |
|---|
Wat doen cybercriminelen?
Voor oplichters, fraudeurs, bedriegers en dieven is internet en mobiele communicatie een walhalla. Er zijn veel kwetsbare websites en nog veel meer onbeschermde mobieltjes waarop een enorme hoeveelheid onbeschermde gegevens te vinden is. Cybercriminelen proberen zichzelf met behulp van internet en mobiele communicatie te verrijken en verdedigen zich daarmee ook tegen justitiële en politiële vervolging.
In het digitale domein zijn er meerdere actoren die inbreken in computersystemen en -netwerken: individuele hobbyistische hackers, bedrijfsspionnen, syndicaten van criminele hackers (crackers), internationaal conspirerende terroristen en natie-staten. De leiders in het cybercriminele circuit zijn goed georganiseerde beroepscriminelen die over zeer omvangrijke hulpbronnen beschikken.
Kwalificatie van cybercriminelen
Wie een cyberdelict wil begaan moet in staat zin om:
- veiligheidszwaktes te detecteren in lukratieve computersystemen en communicatienetwerken;
- aanvalspatronen en tactieken te ontwikkelen die de verdediging van winstgevende doelwitten kan ontregelen, degraderen of vernietigen.
- veiligheidsrisico’s in de eigen computersystemen en netwerken te analyseren en om deze risico’s te minimaliseren;
- de eigen infrastructuren zowel passief, proactief als dynamisch te verdedigen tegenover aanvallen van justitiële en politiële instanties en tegenover andere cybercriminele bendes;
Om al deze activiteiten te verrichten hebben cybercriminelen een hoog kennisniveau nodig van de structuur en werking van computersystemen en netwerken. Naast inzicht in de eigenaardigheden van het digitale domein zijn technische en tactische vaardigheden nodig op het gebied van programmering, systeembeheer, computerveiligheid en -beveiliging. Het meest ideaal is een combinatie van wetenschappelijke expertise op het gebied van computernetwerken en praktische vaardigheden uit de sfeer van het offensieve hacken.
Kennis van hacking technieken en vaardigheden om deze toe te passen behoren tot de basiskwalificatie van elke cybermilitair. Daartoe behoren in ieder geval:
- scannen van kwetsbaarheden (vulnerability scanning);
- kraken van wachtwoorden (password cracking);
- besnuffelen van datapakketten (packet sniffer);
- verzamelen van informatie over systeem- en netwerkgebruikers (tracking cookies);
- maskeren van hengelpraktijken en het manipuleren van identiteiten (phishing, pharming, url-spoofing en backdoors);
- analyseren en maken van kwaadaardige en/of schadelijke software: virussen, wormen en Trojaanse paarden (malware en spyware);
- aftappen van toetsaanslagen (keystroke logging);
- destabiliseren van besturingssystemen (rootkit);
- injecteren van een database met een extra SQL-verzoek waardoor de inhoud van de database kan worden aangepast of extra informatie uit de database kan worden opgehaald (SQL injection);
- verwerven van inside information door omkoping of afpersing (social engineering en spear phishing);
- opsporen en verwijderen van malware infecties (virus scanners, security scans en firewalls).
De sleutel voor de opbouw van zo’n criminele bende is niet het rekruteren van amateurhackers of digitale vandalen, maar het inhuren van professionele hackers.
Hackers bieden helpende hand
|
De Verenigde Nederlandse hackerspaces en -organisaties bestaat uit diverse hackersclubs en -organisaties: Hack42 (Arnhem), ACKspace (Heerlen), TkkrLab (Enschede), Bitlair (Amersfoort), Revelation Space (Den Haag), Randomdata (Utrecht), Frack (Leeuwarden), Sk1llz (Almere), Stichting eth0, 2600nl.net en Stichting HXX.
|
De Nederlandse hackersgemeenschap maakt zich zorgen over de beveiliging van ICT-systemen van de Nederlandse overheid. Een 11-tal hackersclubs heeft zich verenigd en bood op 15 september 2011 in een brandbrief aan de vaste Kamercommissie Binnenlandse Zaken haar kennis en kunde aan. De aanleiding hiervoor was het falen van de beveiliging van belangrijke overheidssystemen zoals DigiNotar, de SSL-certificaten, de OV-chipkaart en het elektronisch patiëntendossier (EPD). In hun gemeenschappelijke verklaring zeggen de hackers: “Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast en een blind vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars. Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven ingehuurd door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van databanken met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet nagedacht over mogelijk misbruik van nieuwe systemen” [Brandbrief].
Hackers die dergelijke fouten ontdekken, durven dat vaak niet te melden omdat zij de kans lopen zelf in de beklaagdenbank te belanden. De hackers wijzen erop dat er “momenteel een klimaat heerst waarin de boodschapper wordt gestraft.”
Sommige instellingen beschouwen het testen van systeemveiligheid en de (ontbrekende) bescherming van persoonsgegevens als iets dat strafbaar is of zou moeten zijn. Maar steeds meer parlementsleden zijn er inmiddels van overtuigd dat hackers dezelfde bescherming verdienen als klokkenluiders (mensen die ongeautoriseerd geclassificeerde informatie lekken).
|
Voor een succesvolle cybercrime moet men een nauwkeurig beeld (footprinting) hebben van de doelwitten die moeten worden bestolen. Daarom maken cybercriminelen gebruik van spyware om heimelijk informatie in te winnen over hun potentiële slachtoffers.
Organisatie: coördinatie en leiding
De criminele organisatie van cybercapaciteiten is zeer complex.
Om die capaciteiten effectief in te zetten voor een criminele operatie moet aan minstens die voorwaarden worden voldaan:
- alle deelnemers aan de criminele operatie moeten voldoende deskundig en behendig zijn om hun deeltaak te verrichten;
- zij moeten voldoende zijn uitgerust met materiële, financiële en personele middelen;
- zij moeten op de juiste wijze worden georganiseerd, aangestuurd en gecorrigeerd.
De slagkracht van een criminele cybereenheid is in belangrijke mate afhankelijk van (i) de planmatige coördinatie van mensen met zeer uiteenlopende —technische, operationele, tactische, strategische— vaardigheden, en van (ii) de aansturing van deze cybereenheid en subeenheden.
Tactiek en strategie: cybercrimineel denken
Het doel van cybercriminelen is meestal zeer eenduidig: illegale zelfverrijking. Maar dat doel wordt vaak niet direct of via een enkelvoudig delict gerealiseerd.
De doelen van cybercriminele operaties zijn meestal niet eenvoudig of enkelvoudig. Er wordt gewerkt met samengestelde doelen die niet met één stap of in één keer gerealiseerd kunnen worden. Cybercriminele operaties bestaan vaak uit een complexe hoeveelheid stappen die in een bepaalde volgorde en volgens een bepaald tijdsschema moeten worden gepland en georganiseerd.
Dit vereist een strategische manier van denken om zo’n cybercrime te realiseren. Leiders van cybercriminele bendes moeten in staat zijn om op behendige wijze minstens vijf activiteiten te combineren:
- afbakenen van de afzonderlijke clusters van activiteiten (stappen, etappes) waarin een criminele operatie wordt uitgevoerd;
- bepalen van de volgorde waarin die stappen worden uitgevoerd;
- vaststellen van tijdschema volgens welke deze stappen moeten worden uitgevoerd om de operaties temporeel met elkaar te coördineren;
- rekening houden met de interactie-effecten tussen de afzonderlijke stappen en fasen van de gehele operatie;
- flexibel reageren op wijzigingen in het strategisch-tactische veld: slachtoffers en rechtshandhavers zitten ook niet stil. Met hun reacties en tegenmaatregelen modificeren zij de structuur en dynamiek van het strijdperk.
Dit zijn geen activiteiten die men aan technisch specialisten of programmeurs kan overlaten, omdat ze een strategisch-tactische of militaire wijze van denken vereisen, waarin strategie, tactiek en operationele actie systematisch met elkaar verbonden worden. Om ingewikkelde en uiteenlopende wapensystemen op de juiste wijze in te zetten en te combineren zijn goed geschoolde militairen nodig. Militairen die vertrouwd zijn met de praktijk van strategische, tactische en operationele valkuilen en dilemma’s. Militairen die niet alleen rekening houden met alle eigenaardigheden van het cybermilitaire front, maar ook met de conflictueueze afstemming op politiek gedefinieerde opties, straf- en staatsrechtelijke condities en volkenrechtelijke beperkingen. Net als bij alle andere militaire strijddomeinen zijn de risico’s op het cyberdomein zeer groot. Ook bij cybermilitaire operaties gaat het uiteindelijk altijd om mensenlevens. Bij confrontaties in cyberspace is het nog veel lastiger om bij de eigen operaties een duidelijk onderscheid te maken tussen militaire doelen en burgerdoelen, en tussen combattanten en non-combattanten.
|
Risico-analyse
De traditionele manier om een veiligheidsrisico te bepalen bestaat uit drie elementen: actor, intentie en capaciteiten. In de virtuele wereld zijn deze elementen uitermate lastig te bepalen.
Ten eerste is er meestal geen duidelijk identificeerbare actor die als mogelijke vijand kan worden aangemerkt. Cyberaanvallers kunnen buitenlandse overheidsinstellingen zijn (veiligheidsdiensten, strijdkrachten), maar ook verveelde teenagers die zich vermaken met joyriding op het internet, hackers die op eigen gezag testen hoe sterk de beveiliging van ICT-systemen is, criminelen die op zoek zijn naar buit, terroristen die met een spectaculaire cyberaanslag paniek willen zaaien, ondernemers die proberen bedrijfsgeheimen van hun concurrenten te stelen, of ontevreden insiders die hun gram willen halen bij de organisatie waar zij zojuist ontslagen zijn.
Ten tweede is het moeilijk om betrouwbare informatie te krijgen over de vijandige intenties van de (mogelijke) aanvaller. Wat beoogt een aanvaller? Wordt er een heel land aangevallen of wordt alleen de robuustheid van computersystemen en netwerken getest? Wordt er aangevallen om economisch voordeel te behalen, of slechts om geld te roven? Is het een eenmalige actie, of is de aanval het begin van een omvangrijke cybercampagne?
Ten derde is het lastig om vast te stellen of de mogelijke vijand beschikt over de capaciteiten om een grootsschalige cyberaanval te plegen op een hele natie. Over hoeveel manschappen, tanks en raketten een vijand beschikt, laat zich nog relatief eenvoudig tellen. Cyberwapens zijn veel lastiger te identificeren en te kwantificeren. We weten wel dat alle natiestaten beschikken over hoogwaardige informatie- en communicatietechnologieën en dat de instrumenten voor cyberaanvallen gemakkelijk verkregen —en verborgen— kunnen worden.
De logica van cybercriminaliteit brengt dus veel meer onzekerheden met zich mee dan bij conventionele misdaad. Het maken van een goed risico-analyse is daarom ook veel lastiger.
|
|
Social engineering: de kunst van de misleiding |
|---|
|
Plus ça change, plus c’est la même chose.
|
De zwakste schakel
Beveiligingsprogramma’s kunnen nog zo geavanceerd zijn en alle penetratietests hebben doorstaan, toch is de veiligheid van de communicatie binnen een organisatie nooit sterker dan haar zwakste schakel. Meestal is dit een personeelslid dat slordig met wachtwoorden omgaat, veiligheidsprocedures niet in acht neemt, of zich gemakkelijk laat verleiden of omkopen om geheime of vitale informatie prijs te geven.
Niet hackers, maar nalatige werknemers zijn verantwoordelijk voor de meeste datalekken bij bedrijven. Dit was de conclusie van een onderzoek van het Ponemon Istitute (febr. 2013) onder meer dan 3.500 ict-ers in acht landen.
| Typen datalekken
| |
| Nalatige werknemer of aannemer | 47% |
|
| Systeemfouten en ander hardwarematige storingen | 32% |
|
| Externe aanvallen | 24% |
|
| Fouten of nalatigheid van derden | 23% |
|
| Kwaadwillend personeel | 14% |
Bij de niet kwaadaardige datalekken gaat het meestal om datadragers die niet goed gewist zijn, of om apparaten die werknemers zijn verloren.
|
De geautomatiseerde digitale spionagetechnieken zijn steeds verfijnder, krachtiger en effectiever. Maar heel vaak kan vertrouwelijke of geheime informatie alleen worden verkregen door criminelen die de kunst van de misleiding verstaan.
Zij moeten een speciale rol spelen, geloofwaardigheid opbouwen en gebruik maken van vertrouwensrelaties en van wederzijdse verplichtingen [Mitnick/Simon 2005:232; Erlanger 2011]. Ze moeten op een manipulatieve en misleidende manier gebruik maken van vertrouwen. Zij moeten de kunst van de misleiding (Kevin Mitnick) beheersen.
Social engineering is de kunst om mensen iets te laten doen wat jij wilt, zonder dat ze het zelf door hebben. Het doel is om vertrouwelijke of geheime informatie van mensen los te krijgen waardoor de cybercrimineel dichter bij zijn doelwit kan komen. Er wordt dus geen directe aanval op de techniek zelf (de computers, software en netwerken) uitgevoerd. Het is een indirecte methode waarbij via het één (de te misleiden persoon) iets anders bereikt (toegang tot een computersysteem of netwerk). De cybercriminelen gaan niet direct af op de kwetsbaarheden van de firewall, maar op de menselijke kwetsbaarheden van individuen.
Toegepaste sociale wetenschap
Social Engineering is een vorm van toegepaste sociale wetenschap. In het beveiligingscircuit wordt daarmee bedoeld het benutten van menselijke eigenschappen zoals hulpbereidheid, klantvriendelijkheid, dankbaarheid, behoefte aan erkenning, geldingsdrang, machtsstreven, carrièredenken, materiële reden, winstzucht, levensstijl, ideële factoren, onwetendheid, goedgelovigheid en naïviteit. Maar het gaat ook om het exploiteren van arbeidstrots, respect voor autoriteiten, omkoopbaarheid, neiging tot conflictvermijding, behoefte aan liefde en de wens om een goede teamspeler te zijn.
Het doel daarbij is altijd de heimelijke en/of illegale vergaring van informatie. Social engineering is een efficiënte methode van bedrijfsspionage zonder dat men daarvoor technische hulpmiddelen nodig heeft. De aanvaller oefent geen dwang uit op het slachtoffer en het slachtoffer heeft de illusie van volledige controle en vrijwilligheid.
Een van de eenvoudigste trucs van een cybercrimineel is impersonatie: het zich voor iemand anders uitgeven dan wie men is. Met die gespeelde rol bouwt de crimineel vertrouwen op met het doelwit. Als het personage goed is geconstrueerd — toegespitst op ambities, gevoeligheden, ijdelheden, zwakheden etc. van het doelwit — dan is het meestal niet moeilijk om vertrouwen te winnen.
Via virtuele sociale netwerken kunnen vertrouwensrelaties worden gecreëerd en gemanipuleerd. @@@ UITWERKEN
|
Methodieken van sociale misleiding
Sociale misleiding (‘social engineering’) kent vier basismethodieken.
- Persoonlijk contact - Impersonatie
Een aanvaller legt persoonlijk contact met het slachtoffer. Hij doet zich voor als iemand anders en belt het doelwit met het verzoek om zijn gebruikersnaam en wachtwoord door te geven om een urgent probleem te verhelpen. Vooraf aan dit contact verzamelt de hacker informatie over het slachtoffer zodat hij een verhaal kan vertellen dat voor het slachtoffer overtuigend is. Om die informatie te vergaren worden zoekmachines als Google, sociale netwerksites als Facebook en andere online informatiebronnen gebruikt.
Het is een eenvoudige en effectieve techniek. De aanvaller doet zich voor als systeembeheerder, een bekende collega, een gezaghebbende leidinggevende of een goede klant. Uit onderzoek blijkt dat zeer veel personeelsleden hun wachtwoord geven aan iemand die zich voordoet als een medewerker van de it-afdeling. Via de aangenomen vertrouwenwekkende rol van insider probeert de aanvaller informatie te verkrijgen van zijn slachtoffer die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te krijgen is.
Bij slachtoffers wordt eerst vertrouwen gewonnen (geloofwaardigheid), nieuwsgierigheid geprikkeld, medelijden opgewekt. Zij worden geïntimideerd of bang gemaakt (angst inboezemen). Vervolgens wordt om een bepaalde handeling te verrichten of informatie af te staan die eigenlijk niet gegeven mag worden. Door een behendige en op de persoon toegespitste combinatie van verleiding, misleiding en intimidatie krijgt het slachtoffer het gevoel dat hij geen anders keuze heeft dan te doen wat er gevraagd wordt. Zelfs werknemers met een hoog beveiligingsbewustzijn worden slachtoffer van dergelijke aanvallen, ook al worden zij van te voren gewaarschuwd voor specifieke bedreigingen.
- Lokmails - Phishing
|
De kunst van het misleiden
Een simpele maar vaak doeltreffende methode is om een personeelslid te vragen om een zogenaamd naar de verkeerde afdeling verzonden geheim document door te sturen naar een andere afdeling. De lokmail is zo ingericht dat de crimineel het document ontvangt. In het boek van Kevin Mitnick, De kunst van het misleiden worden tal van dergelijke trucs beschreven.
|
Om gevoelige informatie te verwerven versturen cybercriminelen e-mails met een tekst die de belangstelling of nieuwsgierigheid van het slachtoffer wekt en die afkomstig lijkt te zijn van een betrouwbare bron. Er wordt grootschalig gehengeld naar vertrouwelijke informatie die criminelen kunnen gebruiken om hun slag te slaan. Deze hengeltechniek wordt phishing genoemd.
Potentiële slachtoffers worden met een lokmail verleid om op een authentiek ogende site vertrouwelijke gegevens zoals wachtwoorden, pincodes en creditcardnummers op te geven. Een vertrouwenwekkend, prikkelend of bangmakend lokmailtje moedigt gebruikers aan om iets te doen waardoor ongemerkt een remote access tool (RAT) op hun computer wordt geïnstalleerd. Daarmee kan de aanvaller de besmette computer controleren en voor eigen doeleinden gebruiken, zoals het versturen van spam of het stelen van geheime informatie.
In lokmails worden worden ontvangers aangemoedigd om op een hyperlink te klikken of een bijlage te openen. Bij de doelwitten wordt onbewust gedrag gestimuleerd waardoor zij doen wat de hacker wil. Dit gebeurt bijvoorbeeld met lokmails waarin staat: “Wij danken u voor uw bestelling. Wij zullen hiervoor 300 euro van uw rekening afschrijven. Ga voor meer informatie naar onze website.” Het idee dat er geld van je rekening wordt afgeschreven terwijl je weet dat je niets hebt besteld, stimuleert een emotionele reactie om direct op de hyperlink te klikken. Eind 2011 slipte een dergelijke mail door de firewall van het ministerie van Defensie [Broos/Vogelaar/Van Fennema 2012:230].
- Rondsnuffelen - Dumpster diving
Cyberspionnen vergaren vertrouwelijke informatie door rond te snuffelen in vuilnisbakken, containers en prullenbakken of door rond te neuzen bij printers en kopieermachines waar wel eens vertrouwelijke documenten rondslingeren. Onbewaakte of weggegooide cd-roms en USB-sticks kunnen een schat aan informatie opleveren. Soms moet de spion daarvoor insluipen in het gebouw waar die vertrouwelijke gegevens te vinden zijn. Maar vaak is zelfs dat niet nodig als er computers, laptops of harde schijven bij het vuil worden gedumpt zonder dat ze goed zijn schoongeveegd.
|
Afvalsnuffelaars
Civielrechtelijk gezien wordt meestal aangenomen dat deze vorm van afvalinzameling toegestaan is: de eigenaren hebben immers afstand van gedaan van de zaken in de vuilnisbak. In Italië is het snuffelen in afval sinds 2000 legaal. Sommige juristenn stellen echter dat de zaken die bij het vuilnis zijn gezet nog steeds het eigendom van de oorspronkelijke eigenaar zijn, tot en met het ophalen van het vuilnis. Daarna wordt het afvalverwerkingsbedrijf houder voor de eigenaar, met de opdracht voor hergebruik of vernietiging zorg te dragen. Dit geldt in het bijzonder voor vuilniscontainers die zich op prié-terrein bevinden, waarvan het betreden door derden niet is toegestaan.
Bestuursrechtelijk kan dumpster diving of skipping door de (lokale) overheid verboden worden. In veel Nederlandse gemeenten is dit het geval (zie bijvoorbeeld de Afvalstoffenverordening van de gemeente Haarlemmermeer van 2006 — art. 36.1). Tenzij men over een speciale vergunning (Morgenstervergunning) beschikt. Zo’n bepaling is opgenomen in de model-APV van de Vereniging van Nederlandse Gemeenten (VNG).
|
- Wacht ze op bij de drinkplaats — Watering hole sites
Cybercrimineel ligt als een leeuw te wachten bij de drinkplaats tot de volgende slachtoffers arriveren.
|
|---|
In criminele campagnes wordt steeds meer gebruik gemaakt van aanvalsstrategie watering hole wordt genoemd of drive-by downloads. Daarbij wordt eerst in kaart gebracht welke websites regelmatig bezocht worden door de leden van een specifieke doelgroep (organisatie, bedrijf, regio etc.). Nadat deze websites op kwetsbaarheden zijn getest worden een of meer van de slecht beschermde sites besmet met malware. Zo’n site wordt van iframes voorzien die de bezoekers doorsturen naar servers waarop een beveiligingslek in de browser of in een plug-in / extension wordt geëxploiteerd (Oracles Java, Adobes Flash & Acrobat). Uiteindelijk wordt er zo altijd wel een lid van de doelgroep geïnfecteerd.
Bij een drinkplaats-aanval wordt een populaire website gecompromitteerd die door een groep potentiële slachtoffers uit zichzelf al wordt bezocht. Juist omdat deze website door de leden van de doelgroep wordt vertrouwd, is deze aanvalsstrategie zo efficiënt. Ze is zeer geschikt voor groepen die resistent zijn voor verschillende vormen van hengelen. Hengelen met lokmails wordt steeds meer vervangen door een drinkplaatsaanval [Net-Security, 26.9.12 en 24.1.13; Krebsonline, 12.9.12; Networkworld, 9.10.12; Security Affairs, 31.12.12; Malwageddon, 14.10.13].
Soms is bij drinkplaatsaanvallen de geïnstalleerde malware op de webpagina beschikbaar als een verzameling bytes die via XOR zijn verspleuteld. Wanneer de exploitatie succesvol is, dan wordt er naar een speciale marker in het geheugen gezocht. Zodra deze marker wordt gevonden, wordt de lijst met bytes ontsleuteld en blijft er een binair bestand over. Deze malware wordt vervolgens op het systeem uitgevoerd [Websense, 12.3.13; Security.nl, 13.3.13; ThreatPost, 11.11.13].
Hengelen: ongericht en gericht
Titel XXV:Bedrog - Art. 326: Oplichting
“Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.”
Titel XXV: Bedrog - Art. 326c: Listiglijk gebruik maken van telecommunicatiedienst
“Hij die, met het oogmerk daarvoor niet volledig te betalen, door een technische ingreep of met behulp van valse signalen, gebruik maakt van een dienst die via telecommunicatie aan het publiek wordt aangeboden, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie” [Wetboek van Strafrecht].
De grootste risicofactor voor de computernetwerken van bedrijven en instellingen zijn de mensen, de personeelsleden. Veel cyberdelicten zijn gebaseerd op of beginnen bij het manipuleren en misleiden van werknemers van de doelorganisatie. Via lokmails en contacten op hun sociale netwerken worden zij in de luren gelegd om kwaadwillende indringers toegang te bieden tot het computernetwerk van hun bedrijf of instelling.
Hengelen is het zoeken naar willekeurige slachtoffers.
|
|---|
Misleiding kan gericht zijn op bepaalde personen of leden van organisaties, of ongericht op grotere populaties. Hengelen (‘Phishing’) is een ongerichte poging tot misleiding: grote groepen mensen ontvangen lokmails waarin gevraagd wordt om op een link te klikken of om informatie te geven over wachtwoorden of nummers van creditcards en bankrekeningen [Norton]. Men vist met een net met grote mazen. Het net wordt uitgegooid in de hoop dat er vissen zijn die in dat net verstrikt raken. Bij een cybercriminele aanval op een bedrijfsnetwerk worden ongericht alle werknemers door met lokmails benaderd om wachtwoorden af te staan of op bijlagen te klikken met schijnbaar bedrijfsinterne documenten of grappige afbeeldingen. De aanval kan ook worden gericht op alle gebruikers van een online dienst, zoals klanten van banken, webwinkels of van grote internetbedrijven.
Bij hengelpraktijken worden vaak bekende merken (Apple, PayPal, Amazon, e-Bay) geïmiteerd om de ontvangers van de lokmail te verleiden om een actie te ondernemen.
|
Voorbeeld van crimineel hengelen
In 2014 ontvingen Apple-gebruikers een e-mail die afkomstig leek te zijn van Apple. Daarin stond dat de Apple/iCloud account tijdelijk geblokkeerd en wordt gevraagd de gegevens te verifiëren. De e-mails zien er op het eerste gezicht zeer realistisch uit.
Om de Apple account gegevens te verifiëren moet er op een link worden geklikt. Als je op die link klikt wordt je doorgestuurd naar een internetadres waarvan de url niet begint met Apple.com. Op die manier proberen cybercriminelen persoonsgegevens waaronder creditcardgegevens van argeloze Apple-klanten te stelen.
Hengelvarianten: pharming, smishing & vishing
Om verschillende communicatietechnologiën te benutten zijn er een aantal hengelvarianten ontwikkeld. Zij bereiken hun slachtoffers via geautomatiseerde redirects naar een nepsite (pharming), SMS (smishing) of telefoon of VoIP (vishing).
Het slachtoffer ontvangt op de mobiele telefoon een SMS/MMS of een ingesproken bericht met de mededeling dat er iets met zijn/haar bankrekening aan de hand is. Om dit probleem te op te lossen wordt het slachtoffer gevraagd een telefoonnummer te bellen of in te loggen op een website. Vervolgens wordt gevraagd om wat informatie te geven om de identiteit te controleren: bankrekeningnummer, PIN, creditcard nummer etc.
Gewapend met deze informatie kunnen de cybercriminelen de bankrekening van hun slachtoffers leeg halen of aankopen doen met hun creditcards. Soms wordt ook de mobiele telefoon van het slachtoffer besmet met kwaadaardige software die de criminelen volledige toegang tot de telefoon biedt. Door de toename van mobiel bankieren en online financiële transacties worden smishing en vishing steeds attractiever en lucratiever voor cybercriminelen.
De cybercriminelen maken gebruik van een automatisch belsysteem om mensen in een bepaalde regio of postcodegebied berichten te sturen. Soms gebruiken zij gestolen telefoonnummers van klanten van banken of kredietinstellingen.
Geavanceerd hengelen
De basistechniek van hengelen is telkens dezelfde: er wordt gehengeld naar gevoelige informatie met lokmails die van een betrouwbare bron lijken te komen waarbij de bijlage met malware is besmet of met links naar websites die met malware zijn geïnfecteerd.
Bij geavanceerde hengelpraktijken wordt na opening van de bijlage of bezoek van de criminele website een proces in werking gezet dat door beveiligingssoftware nauwelijks geblokkeerd kan worden. De malware voert eerst een paar controles uit voordat het zichzelf lanceert. De malware begint in een status van ‘infinite sleep’. Op dit manier wordt gecontroleerd of de lokale schijf een virtuele machine is. Dit kan er op wijzen dat het in een zandbak, teerput of honeypot is beland. Als dit het geval is, zal de malware inactief blijven. Bovendien is de code in staat om zichzelf modificeren. De malware ontcijfert haar eigen code in real time en overschrijft instructies om statische analyse door beveiligingssoftware af te weren. Als al deze en andere controles zijn uitgevoerd, wordt de malware wakker en pakt zichzelf uit via meerdere lagen van encryptie en compressie. Zodra de kwaadaardige code begint te draaien infecteert het zichzelf diep in een van de besturingsbestanden. Vervolgens wordt er automatisch nog andere malware gedownload [McAfee 2014:10].
|
Speervissen (Spearphishing) is een doelgerichte, gepersonaliseerde vorm van hengelen. De aanval richt zich op een klein aantal zorgvuldig geselecteerde lucratieve doelwitten (high value targets). Het zijn doelwitten die worden uitgekozen (targets of choice) omdat ze over informatie of andere bronnen beschikken waarin de cybercriminelen zijn geïnteresseerd. Meestal zijn dit mensen die goed geïnformeerd zijn over de architectuur van het informatiesysteem. Door wat te grasduinen in LinkedIn en Facebook is vaak al snel te achterhalen wie er bij een bepaalde bedrijfsafdeling werkt waar de gewenste informatie zich bevindt [Webwereld, 5.8.12].
Voor criminelen is het veel gemakkelijker om informatie te vergaren over hun doelwitten: waar werken zij, wat zijn hun interesses en hobbies, wat zijn hun vrienden, welke mensen, organisaties of websites vertrouwen zij? Via digitale media en vooral de sociale digitale media, kan deze informatie zeer snel en zonder dat het doelwit het merkt, worden verzameld.
In 2014 testte McAfee het vermogen van zakelijke gebruikers om hengelpraktijken te herkennen. Daaruit bleek dat 80% van alle 16.000 proefpersonen faalde voor de test in tenminste een van de zeven lokmails. Bovendien bleek dat de afdelingen waarin de meest gevoelige bedrijfsgegevens circuleren —accounting, financiën en Human Resources— het slechts presteerden [McAffee 2014:13].
Speervissers gebruiken op maat gesneden lokmails om de ontvanger te verleiden om gevoelige informatie zoals wachtwoorden te ontfutselen of om te klikken op een bijlage of op een nep-url die hen naar websites brengt die door de aanvallers zijn ingericht (de ‘drinkplaats’ waar de code-injectie plaats vindt). Slechts één verkeerde klik is nodig om een virus, worm of Trojaans paard te downloaden of andere malware waardoor achterdeurtjes worden geopend die door indringers worden gebruikt om verder in het doelnetwerk binnen te dringen en gevoelige informatie te stelen. Aanvallen van speervissers kunnen maanden duren zonder dat de doelwitten enig idee hebben wat er aan de hand is. Als de aanval uiteindelijk toch worden ontdekt, dan is het erg moeilijk om vast te stellen wat de omvang is van de schade.
|
Snoepgoed en relatiegeschenken
Cybercriminelen gebruiken in principe alle middelen om informatie los te krijgen van hun doelwitten of om hen te verleiden handelingen te verrichten die de geheimen van hun organisatie in gevaar brengen. Inspelend op de nieuwsgierigheid van mensen wordt bijvoorbeeld een besmette usb-stick, laptop of tablet achtergelaten op een plaats die door het doelwit gemakkelijk gevonden zal worden. Uiteindelijk wordt zo’n apparaat vaak verbonden met het informatiesysteem waarin de crimineel wil inbreken. De usb-stick, laptop of tablet zijn snoepgoed dat men bewust in de nabijheid van een kind laat slingeren. Hackers noemen het daarom een candy drop.
Het is gebruikelijk dat zakenmensen die beurzen bezoeken relatiegeschenken krijgen aangeboden. Vaak zijn dat usb-sticks. Cyberspionnen maken van deze gewoonte gebruik om besmette usb-sticks uit te delen waarmee zij toegang te krijgen tot bedrijfsgeheimen. In een uitgelekt rapport van de Britse geheime dienst MI5 wordt geschetst hoe Chinese inlichtingendiensten door het uitdelen van usb-sticks of digitale camera’s Trojaanse paarden verspreiden die hen toegang gaven tot de computer van de gebruiker [Sunday Times, 31.1.10; Trouw, 31.1.10].
|
Doelgerichte aanvallen zijn moeilijk om af te slaan en kunnen grote schade aanrichten. Het volume van de speervisaanval is klein omdat deze gericht is op specifieke personen of een relatief beperkte groep. Speervissers maken meestal over een langere periode gebruik van dezelfde malware om de beoogde informatie binnen te krijgen. Daarom zijn speervisaanvallen weliswaar duurder, maar ze zijn ook lucratiever.
Het hengelen naar waardevolle digitale bronnen heeft zich in de loop der jaren steeds verder ontwikkeld en geprofessionaliseerd. De evolutie van deze vorm van cybercriminaliteit staat nog in haar kinderschoenen. Er zijn inmiddels wel technologische middelen beschikbaar om speervissen te bestrijden [Contos 2011]. Maar zelfs de beste technologie faalt als ze niet wordt aangevuld door best practices van beveiliging.
No one best way...
Er is niet één product dat je kunt gebruiken om speervissen te voorkomen, gevoelige informatie te beschermen, malware af te stoten en kwaadaardige intrusies te stoppen. Er zijn diverse oplossingen die tegelijkertijd gebruikt zouden moeten worden.
- Eindpunt controle: een combinatie van technieken zoals blacklisting en dynamische whitelisting om bekende en onbekende malware buiten de deur te houden;
- Netwerk controle: gericht op het detecteren van APT’s — Advanced Persistent Threats [McAfee]; detecteren en elimineren van kwaadaardige attachments met geavanceerde antimalware; implementeren van verificatiemechanisme voor identiteit van afzender;
- Data controle: systemen die potentiële inbreuk op data tijdig melden en voorkomen [Data Loss Prevention], en
- Management controle: het verspreiden van reputationele informatie zodat kwaadaardige IP’s, URL’s, e-mails, bestanden etc geïdentificeerd en geblokkeerd kunnen worden voordat ze het netwerk binnendingen.
|
De meest voor de hand liggende maatregelen voor beveiliging tegen speervissen en andere vormen van persoonsgerichte cybercriminaliteit liggen op het vlak van opleiding, beleid en reactieplan.
- Opleiding
|
Diepe onwetendheid
“Een van de belangrijkste oorzaken van het succes van cybercrim is (...) de diepe onwetendheid van de meeste computer-gebruikers. Deze onwetendheid wordt mede veroorzaakt door een onderwijssysteem dat op trucjes traint in plaats van dat het mensen echt inzicht biedt. Het 'computerrijbewijs' is gewoon een cursus MS-Windows & MS-Office en geeft geen enkel inzicht in wat een computer doet of hoe netwerken functioneren. Niet dat iedereen tot systeemprogrammeur hoeft te worden opgeleid, maar en set minimale inzichten (zoals het kunnen 'lezen' van een URL) zou al veel leed kunnen voorkomen.” [Arken Kamphuis, in: Webwereld, 15.3.12].
|
In de opleiding moeten personeelsleden leren hoe tactieken van speervissen werken. Door praktische speervisoefeningen kunnen zij ervaren hoe makkelijk ze zelf voor de gek gehouden kunnen worden (kijk in de spiegel). Via trainingen kunnen werknemers oneigenlijk gebruik van informatie- en communicatiesystemen beter leren herkennen. Voor slimme criminele speervissers is het gemakkelijk om een e-mail adres of een URL te laten lijken op een legitiem domein. Zelfs als je er zeker van bent dat de e-mail die je ontvangt daadwerkelijk door een collega is verstuurd, dan is er altijd nog een kans dat deze een kwaadaardige link of download bevat, zonder dat die collega daar weet van heeft. Ze moeten leren welke maatregelen er genomen moeten worden als vermoed wordt dat ze het doelwit van speervissers zijn. Al deze activiteiten zijn gericht op het verhogen van het beveiligingsbewustzijn (security awareness).
- Beleid
Maak in eigen beleid duidelijk dat er door directies, leidinggevenden, hulpdiensten of systeembeheerders nooit gebruikersnamen, wachtwoorden of andere toegangscodes worden gevraagd via telefoontjes, sms-jes, e-mails of via bijlagen of hyperlinks in e-mails. Voor telefooncontact kan een uitzondering worden gemaakt wanneer men de beller persoonlijk kent of een telefoontje kan retourneren op een bekend bedrijfsnummer. Beleidsmatig moet worden vastgelegd welke typen informatie absoluut nooit via persoonlijk e-mails, sms’jes, blogs, tweets of andere sociale netwerken verspreid mogen worden.
- Reactieplan
Stel een gedetailleerd plan op waarin wordt beschreven hoe er gereageerd moet worden op een spionage incident en welke specifieke acties er na zo’n incident ondernomen moeten worden om de omvang van de aanval te bepalen en de schade te beperken. Daarbij hoort ook een goede registratie van incidenten voor forensische doeleinden.
Chantage en afpersing met ransomware
Met lokmails worden mensen verleid om iets te doen wat zij beter kunnen laten. Maar in plaats van mensen te verleiden om op een link te klikken of een besmette bijlage te openen, kan dit ook worden bereikt door te dreigen, bijvoorbeeld met het openbaar maken van vertrouwelijke of gevoelige informatie. Afpersing met behulp van ransomware komt steeds vaker voor [SurfRight 2012; McAfee 2012; Telegraaf, 10.3.14; Europol 2014].
Via bijlagen van e-mails, besmette advertenties of een drive-by-download wordt eerst de computer van het slachtoffer geïnfecteerd met ransomware. De ransomware blokkeert vervolgens de toegang tot je eigen computer of encrypteert alle bestanden die daar op staan. Om de computer en haar bestanden te ‘bevrijden’ moet het slachtoffer losgeld betalen. Volgens Symantec maakt ongeveer 3% van de slachtoffers geld over in de hoop dat zij de controle over hun computer terugkrijgen en hun bestanden ontsleuteld worden. De kans is echter veel groter dat cybercriminelen de prijs verhogen dan dat ze je de sleutel sturen.
Het afpersen van personen en instellingen middels ransomware was in 2012 de snelst groeiende methodiek van cybercriminaliteit. Vooral lagere overheden en het midden- en kleinbedrijf zijn een aantrekkelijk doelwitten voor cybercriminele afpersers.
De afpersers maken vaak gebruik van e-mails met CryptoLocker, een programma dat elk bestand op de computer encrypteert zodra de e-mail wordt geopend. Zelfs eventuele back-up bestanden worden versleuteld als je opslagapparaat voor deze bestanden met je computer verbonden was toen CryptoLocker toesloeg. Alle bestanden in een gedeelde netwerkschijf ondergaan hetzelfde lot. Het is een DOR-aanval: Denial of Resources.
Als de bestanden zijn geëncrypteerd krijgt het slachtoffer een popup te zien met het bericht:
“Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated for the computer. To decrypt files you need to obtain the private key.
Click Here
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files.”
Vervolgens wordt $300 geëist (of een vergelijkbaar bedrag in een andere valuta) voor de private key en wordt gewaarschuwd dat “any attempt to remove or damage this software will lead to the immediate destruction of the private key by the server”.
CryptoLocker maakt gebruik van asymmetrische encryptie die werkt met twee sleutels: de ‘public key’ versleutelt de data met de ‘private key’ kan deze worden ontcijferd. De malware zet de publieke sleutel op de computer van het slachtoffer, maar de private sleutel wordt opgeslagen op de commandoserver van de cybercriminelen.
Voor opsporingsdiensten is het lastig om greep te krijgen op de commando en controle server. Er valt nog wel te achterhalen vanaf welke server de publieke sleutel werd geladen. Maar deze C&C-server is meestal slechts een van de tussenschakels van een hele serie gekaapte computers die als proxyserver fungeren. Bovendien wordt de C&C-server zelf permanent verschoven naar een ander land.
|
Bijvangst
Bij een gijzeling met ransomware ben je niet langer in staat om je eigen bestanden te openen, lezen of bekijken. Maar de crimineel met de decrypotiesleutel kan dit wel doen. Cybercriminelen kunnen dus toegang krijgen tot al je documenten met wachtwoorden en persoonlijke of financiële informatie, inclusief je foto’s en video’s. Voor de cyberafperser zijn dit indirecte opbrengsten van de gijzeling, het is bijvangst of nevenbuit.
Eerste digitale afpersing: licentie verlopen
De eerste afpersing met ransomware vond plaats in 1989. Toen schreef dr. Joseph Popp het Trojaanse paard AIDS (ook wel PC Cyborg genoemd). Het encrypteerde de bestandsnamen op de harde schijf en maakte alle folders onzichtbaar; het claimde dat de gebruikerslicentie voor een bepaald stukje software verlopen was en dat de gebruiker hiervoor $189 moest betalen aan de ‘PC Cyborg Corporation’ om het systeem te ontsleutelen.
De zwakte van het Trojaanse paard dat de dokter had gecreëerd was dat de bestandnamen met symmetric cryptografie waren versleuteld. Toen experts de kwaadaardige code konden analyseren kon de encryptie eenvoudig ongedaan worden gemaakt en werd ook duidelijk wie de ransomware had gemaakt.
Omdat dr. Popp geestelijk ziek werd verklaard hoefde hij zijn misdaad niet voor de rechter te verantwoorden. Maar hij beloofde de winst van zijn criminele onderneming te doneren aan onderzoek naar AIDS.
Bij asymmetrische encryptie is reverse-engineering praktisch onmogelijk. In 1996 lieten de twee onderzoekers Adam Young en Moti Yung voor het eerst zien hoe asymmetrische encryptie gebruikt kon worden in ransomware [Young/Yung 1996; TechRepublic, 11..1.10].
Betalingsmethoden
Cybercriminelen zijn bang dat zij kunnen worden opgespoord door het spoor dat het betaalde losgeld nalaat. Soms wordt gevraagd om het losgeld te storten via Western Union. Dan weer wordt geëist dat het slachtogger iets bestelt van een speciale website, die meestal in Rusland draait. Sinds 2009 wordt van het slachtoffer ook betaling gevraagd in de vorm van het versturen van een premium SMS bericht. Dat is een SMS’je waarvoor de ontvanger een speciaal tarief betaalt (Premium MT).
Het slachtoffer sms’t een keyword naar een verkort nummer (bijvoorbeeld 3669). Vervolgens ontvangt hij een SMS-bericht terug van de cybercrimineel. Voor het ontvangen van dat SMS-bericht betaalt hij een bepaald bedrag dat in rekening wordt gebracht via zijn telefoonrekening. Ideaal voor marketingcampagnes, prijsvragen en collectes voor goede doelen —maar ook voor cybercriminelen.
Door de opkomst van de smartphones werden premium SMS-berichten een gangbare manier van monetariseren van mobiele malware . De mobiele malware neemt de controle van de besmette smartphone over en het beveelt om een bericht te sturen naar een premium sms-nummer, waardoor de daders of hun geldezels betaald worden via de mobiele provider van het slachtoffer.
Sinds de opkomst van virtueel geld zoals de bitcoin, eisen cyberdaders van hun slachtoffers dat zij in bitcoins betalen. Zij moeten bij een online wisselkantoor bitcoins inkopen en overdragen aan de criminelen die dus in dit geval direct geld ontvangen, maar toch anoniem blijven.
|
Een minder bekend —door Wikileaks aan het licht gebracht— voorbeeld van datagijzeling is de afpersing van de Amerikaanse staat Virginia op 30 april 2009. Daar verschafte een hacker zich toegang tot een medische databank (Virginia’Prescription Monitoring Program) en stal daar bijna 8,3 miljoen patiëntendossiers en meer dan 35,5 miljoen voorschriften van medicijnen. De staat Virginia ontving een brief waarin losgeld werd gevraagd. Daarin zei de afperser dat hij in het bezit was van de medische gegevens:
“Ik heb jullie shit in ‘mijn’ bezit. [...] Ik heb een geëncrypteerde backup gemaakt en het origineel vernietigt. [...] Voor $ 10 miljoen ben ik graag bereid het wachtwoord op te sturen.”
De afperser dreigde dat hij de gegevens op aan de hoogste bieder de vrije markt zou verkopen als hij het losgeld niet zou krijgen. Het is niet helemaal duidelijk of de staat Virginia losgeld heeft betaald. Van de dader(s) ontbreekt nog elk spoor [Washington Post, 4.5.09; Fox News, 7.5.09; CBS, 15.6.10].
Dit voorval is niet uniek. In meerdere gevallen werd losgeld gevraagd om de gegevens vrij te geven, en in veel gevallen waren eigen werknemers of onderaannemers bij de gijzeling betrokken [PHIprivacy, 25.9.12]. De medische sector is er nog niet in geslaagd om adequate beveiligingsmaatregelen te nemen om inbraken op patiëntendossiers en andere vertrouwelijke medische informatie te voorkomen of tijdig te detecteren — vooral niet als het inbraken van binnenuit betreft.
Politievirus — Police ransomware
In 2011 werd een nieuwe variant van cyberafpersing gedetecteerd: «police ransomware». Het is kwaadaardige software die internetgebruikers bedriegt door betaling te vragen voor nepboetes. Wie daarmee besmet raakt krijg een pop-up scherm te zien dat van politie, justitie of een meestal niet bestaande Afdeling Cybercriminaliteit lijkt te komen [zie voorbeeld]. Vaak wordt daarbij een waarschuwing gegeven dat er kinderporno of ander illegaal materiaal op de pc is gevonden.
Om weer toegang te krijgen tot de vergrendelde bestanden op de geïnfecteerde computer moeten de slachtoffers een boete betalen. Uiteraard wordt ook na betaling van de boete de computer niet ontgrendeld tot dat de machine is gedesïnfecteerd
[Europol, 7.5.12; Malware don’t need Coffee, 18.2.13; Security.nl, 11.2.13; Security.nl, 18.2.13].
Idiotenbelasting
De crackersgroep Rex Mundi gespecialiseerde zich in het afpersen van personen en instellingen. Zij stelen gevoelige informatie en dreigen deze online te plaatsen als de slachtoffers niet bereid zijn om een «idiotenbelasting» te betalen.
Rex Mundi is geen gewone groep van criminele hackers. Zijn claimen ‘ethische’ hackers te zijn die alleen maar doelwitten selecteren die het verdienen om bestolen te worden. De groep verwijt haar slachtoffers dat zij sjoemelen met de beveiliging van hun klantgegevens of dat zij zelf hun klanten bestelen. Dat neemt niet weg dat het winstoogmerk domineert: “we’re in it for the money, which is also pretty awesome.”
Rex Mundi perste diverse bedrijven af: AmeriCash Advance (klantgegevens van credietnemers), het Nederlandse uitzendbureau Accord, de Belgische kredietverstrekker Elantis, het Belgische uitzendbureau AGO-Interim (database bevat allerlei denigrerende teksten over sollicitanten), het Canadese uitzendbureau Drake International, de
Franse kredietverstrekker Credipret en
de financieringsinstelling Buy Way.
In juni 2014 maakte Rex Mundi zich meester van 650.000 klantgegevens van Domino’s Pizza. Zij eisten een losgeld van €30.000 en dreigden bij niet-betaling de gegevens openbaar te maken. Om de claim kracht bi te zetten, plaatsten zij gegevens van zes klanten online. Met naam, adres, telefoonnummer, e-mailadres en wachtwoord. De afpersers beweerden dat ze de databank met klantgegevens kraakten om aan te tonen dat de websites van Domino’s Pizza kwetsbaar zijn [Tweakers, 13.6.14].
|
Computervredebreuk en Afpersing
Rex Mundi maakt zich schuldig aan computer criminaliteit (computervredebreuk) en een vermogendsdelict (afpersing). Op ‘afpersing’ staat in Nederland een vrijheidsstraf van ten hoogste 9 jaar of een geldboete van de 5e categorie. Op ‘computervredebreuk’ [artikel 138ab] staat nu nog een gevangenisstraf van ten hoogste 1 jaar of een geldboete van de 4e categorie. Wanneer de inbreker echter (i) gegevens uit de computer voor zichzelf of anderen vastlegt, of (ii) de verwerkingscapaciteit van de computer voor zichzelf aanwendt, of (iii) de ingebroken computer gebruikt als startpunt voor een verdere inbraakpoging in een andere computer, dan neemt de maximumstraf toe tot 4 jaar of een geldboete van de vierde categorie.
In aansluiting bij de Europese richtlijn wordt in het wetsvoorstel van de Minister van Veiligheid en Justititie de celstraf voor normale computerdelicten verhoogd tot maximaal 2 jaar. Voor computerdelicten die in georganiseerd verband worden gepleegd of die ernstige schade veroorzaken of gericht zijn tegen vitale infrastructuren wordt de maximum celstraf verhoogd tot 5 jaar [Memorie van Toelichting, 7.2.14].
Volgens het geldende strafrecht vallen onder cybercrime in ieder geval:
- Hacking (‘computervredebreuk’): het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan [art. 138ab Sr].
- Malware (‘gegevensaantasting’): het opzettelijk en wederrechtelijk veranderen, wissen, onbruikbaar of ontoekankelijk maken van gegevens andere gegevens toevoegen aan gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of worden overgedragen [art. 350a].
- Spyware: het opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk [art. 139c]
- Voorhanden hebben van malware en inbraakinstrumenten: het in bezit behhen van een technisch hulpmiddelwaarmee een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen [art. 139d)
- Denial of service aanvallen: het opzettelijk en wederrechtelijk belemmeren van de toegang tot of het gebruik van een geautomatiseerd werk door daaraan gegevens aan te bieden of toe te zenden [art. 138b]; Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt [161sexies].
- Cybotage van infrastructuren (‘Beschadiging van werken ten algemenen nutte’):
het opzettelijk en wederrechtelijk vernielen, beschadigen, onbruikbaar, onklaar of wegmaken van spoorweg- of elektriciteitsnetwerken, geautomatiseerde werken of netwerken voor telecommunicatie die dienen tot waterkering, waterlozing, gas- of waterleiding of riolering, voor zover deze werken ten algemenen nutte gebezigd worden, dan wel ten behoeve van de landsverdediging [art. 351]. En het opzettelijk vernielen, beschadigen of onbruikbaar maken, verstoren van de gang of werking enig geautomatiseerd werk of enig werk voor telecommunicatie, of het verijdelen van veiligheidsmaatregel verijdelt [art. 161sixies]. Dit artikel wordt overgeheveld naar een nieuw artikel 350c waarin samenvattend strafbaar wordt gesteld het opzettelijk vernielen, beschadigen, onbruikbaar maken of verstoren van de werking van geautomatiseerd werk of werk voor telecommunicatie. Daarbij vervalt de eis dat het moet gaan om ‘gegevens ten algemene nutte’ en ook dat het moet gaan om stroonissen in een ‘openbaar’ telecommunicatienetwerk of een ‘openbare’ telecommunicatiedienst.
Grensoverschrijdende online opsporingen of de plaatsing van spyware door opsporingsautoriteiten is nadrukkelijk niet geregeled. Voor bewijsvergaring door opsporingsinstantie op het grondgebied tussen EU lidstaten onderling is dus nog steeds rechtshulp of toestemming van een staat vereist.
Analogie met huisvredebreuk
Wie in een huis van een ander ongenodigd binnendringt maakt zich schuldig aan huisvredebreuk, ook al stond de voordeur open of was de vergrendeling van het keukenraam van slechte kwaliteit. Zelfs zonder iets te stelen of schade aan te richten is dit een strafbare handeling (‘insluiping’, het onrechtmatig betreden zonder braak). Maar is dit ook het geval als de voordeur open staat, ik aanklop, de gang in loop en ‘hallo, iemand hier?’ roep, zonder iets te stelen of te vernietigen?
Vindersloon-regeling voor het vinden van dergelijke gaten in beveiliging?
|
|
CyberInlichtingen |
|---|
Informatie vergaren: heimelijk inbreken en aftappen
Cybercriminelen moeten over goede informatie beschikken over hun doelwitten en over de online systemen waarvan zij gebruik maken. Om die informatie te verwerven moeten zij penetreren in computersystemen en te infiltreren in digitale communicatienetwerken.
Crimineel inlichtingenwerk is tegenwoordig een vorm spionage op afstand. Dat is relatief eenvoudig en goedkoop uit te voeren, terwijl het risico van ontdekking klein is en de potentiële opbrengst bijzonder groot kan zijn.
Cybercriminelen hebben
grote digitale oren.
|
|---|
Cybercriminelen zoeken eerst naar zwakke plekken in ict-systemen van hun slachtoffers. Vervolgens proberen zij daarin via een onbewaakte of zwak beveiligde achterdeur binnen te dringen. Daarna beginnen de eigenlijke beschadigende activiteiten. Wie illegaal toegang heeft verkregen tot de computer of mobiele communicatie van een slechtoffer, kan daarmee in principe alles doen: spioneren (gevoelige informatie aftappen), manipuleren (kritieke processen beïnvloeden) en cyboteren (onbruikbaar of ontoegangkelijk maken van computersystemen).
De slimste manier om in een beveiligd systeem in te breken is het compromitteren van elementen die het meeste vertrouwen genieten. “Vroeger was dat de lievelingsconcubine van de koning, tegenwoordig is dat de exploitatie van beveiligingssoftware” [Gaycken 2012:9].
De hoogste kunst is om in te breken in de bedrijven die de beveiligingssoftware voor digitale processen fabriceren. De meest aangewezen plek om dit te doen is bij bedrijven die certificaten uitgeven die dienen ter identificatie van websites en beveiliging van webverkeer. De protocollen die transacties en commmunicaties op internet beveiligen zijn SSL (Secure Sockets Layer) en TLS (Transport Layer Security).
|
SSL en TLS zijn technologieën voor het maken van een geëncrypteerde verbinding tussen een webserver en een internetbrowser. Zo’n verbinding moet ervoor zorgen dat alle data die tussen een webserver en browser worden verstuurd geheim blijven voor buitenstaanders en niet gestolen kunnen worden. SSL- of TLS-certificaten worden gebruikt voor het beveiligen van online transacties en voor de encryptie van creditcardgegevens of persoonlijke informatie. Deze certificaten zijn versleuteld met asymmetrische cryptografie; de communicatie tussen gebruiker en server wordt versleuteld met symmetrische cryptografie.
|
De server wordt door middel van een certificaat geauthentiseerd zodat de gebruiker er zeker van kan zijn dat de gevonden server (bijvoorbeeld van een bank) ook daadwerkelijk de server is die hij zegt te zijn. SSL- en TLS-protocollen worden gebruikt om client/server-applicaties te beveiligen tegen afluisteren. Maar ook hier is de veiligheid van deze protocollen slechts zo sterk als haar zwakste schakel. De inbraken op de SSL-beveiliging toonden aan dat er heel wat zwakke schakels zijn waarvan er een aantal misbruikt kunnen worden voor criminele doeleinden.
Diginotar: gehackt vertrouwen
“Het internet is weliswaar opgebouwd uit software en hardware, maar het is een ecosysteem dat afhankelijk is van een menselijke kernwaarde: vertrouwen. De netwerken en systemen moeten de informatie die we versturen kunnen vertrouwen, en omgekeerd moeten wij de informatie die we ontvangen kunnen vertrouwen” [Peter W. Singer 2014]
De meest superieure vorm van cyberspionage is het inbreken bij producenten van vertrouwensmechanismen. Dat was precies wat er in 2011 in Nederland gebeurde: er werd ingebroken op DigiNotar, de belangrijkste leverancier van beveiligingscertificaten. Het toonde aan dat er intussen meer tactisch denkende aanvallers opereren in het digitale strijdperk.
DigiNotar was een commerciële certificaatautoriteit. Het DigiNotar SSL certificaat werd door de Nederlandse overheid gebruikt voor al hun veilige online transacties. DigiNotar verzorgde de PKIoverheid-certificaten voor grote delen van de Nederlandse overheid, waaronder die van DigiD. De certificaten werden niet alleen gebruikt voor alle online belastingteruggaven, maar ook voor de website van de AIVD.
|
SQL-injectie
Veel webapplicaties gebruiken een databank om allerlei informatie op te slaan. Met de standaard databasetaal SQL (Structured Query Language) worden verzoeken naar de databank verstuurd om bepaalde informatie beschikbaar te maken op de website. Met een zoekterm bepalen gebruikers zelf welke informatie zij willen zien. Cybercriminelen maken hiervan gebruik om een extra SQL-verzoek toe te voegen, waardoor de inhoud van de databank wordt aangepast of toegang wordt verkregen tot niet publiek toegankelijke gebruikersnamen en wachtwoorden. Dit toevoegen van zo’n verzoek wordt SQL-injectie genoemd.
|
Op 17 juni 2011 slaagde een hacker, die opereerde onder de naam ‘Comodohacker’, erin bij DigiNotar in te breken [PCWorld, 6.9.2011]. Net als bij zijn eerdere inbraken gebruikte de hacker daarvoor een bekende techniek voor een aanval op een database: de SQL injectie. De hacker kreeg uiteindelijk de controle over de servers van DigiNotar. Er werden 531 SSL-veiligheidscertificaten gestolen. Sommige daarvan kunnen gebruikt worden om nepupdates voor Windows naar computers te sturen.
Een van de directe gevolgen van deze inbraak was dat DigiNotar op 29 juli 2011 een certificaat voor het domein google.com uitgaf aan onbekende personen in Iran. Wekenlang probeerde DigiNotar deze valse uitgifte te verzwijgen. Zelfs na publicatie over de diefstal hield het bedrijf bij hoog en bij laag vol dat haar systemen niet gecompromitteerd waren. Maar uiteindelijk moest zij toegeven dat haar certificaten niet meer veilig waren. In het forensisch onderzoek van het beveiligingbedrijf Fox-IT werden de fouten in de procedures en systemen van DigiNotar aan het licht gebracht. Diginotar maakte gebruik van verouderde software, haar wachtwoorden waren gemakkelijk te kraken en er werd geen gebruik gemaakt van antivirusprogrammatuur.
Op 2 september zegde de Nederlandse overheid haar vertrouwen in DigiNotar volledig op [Cert.nl: Factsheet]. Tijdens een opmerkelijke persconferentie —zaterdagmorgen om 1:15 uur— kondigde minister Donner van Binnenlandse Zaken aan dat de Nederlandse regering alle vertrouwen in digitale certificaten van DigiNotar had verloren. Op 13 september trok de OPTA de registratie van DigiNotar als leverancier van gekwalificeerde elektronische handtekeningen (certificaten) in. Op 20 september 2011 werd DigiNotar failliet verklaard [Nu.nl:20.9.2011].
|
Dodelijke hack
Het belangrijkste doel van de inbraak bij Diginotar was waarschijnlijk het achterhalen van de tegenstanders van het Iraanse regime. In Iran werden internetters die dachten bij Gmail in te loggen omgeleid naar een andere website die niet te vertrouwen was. Ook netwerken van universiteiten werden gekraakt. Met de van DigiNotar gestolen certificaten kon de Iraanse overheid haar burgers bespioneren, zelfs als deze verbinding hebben met beveiligde https-websites.
Door de hack bij DigiNotar kon de regering gemakkelijk achterhalen welke mensen met welke ideeën rondliepen en waar deze personen zich bevonden. Op die manier proberen de machthebbers in Iran de oppositie de kop in te drukken [Nu.nl:13.10.2011].
|
Moeizame attributie: nationalistische hack of door staat gesponsorde aanval?
De nepcertificaten konden gebruikt worden om de communicatie van gebruikers te monitoren zonder dat ze dat door hebben. Dit kan echter alleen door een organisatie die in staat is om internetverkeer om te leiden naar servers die ze controleren. Meestal zijn dat overheden. Zonder controle over de infrastructuur zijn de nepcertificaten onbruikbaar.
Toch bleef het ook in dit geval lastig te bepalen wie er voor de aanval op DigiNotar verantwoordelijk was en wat het eigenlijke doel van de hele operatie was. Sommige experts beschouwen de DigiNotar-hack daarom als een cyberoorlogsdaad (‘worse than Stuxnet’).
“De aanval op DigiNotar zal cyberoorlog bovenaan of dicht bij de top van de politieke agenda van Westerse regeringen zetten. Ik blijf erbij dat het meest plausibele scenario een regeringsoperatie is. De schade die is toegebracht aan de Nederlandse (overheids-) IT-infrastructuur is zeer significant. Een groot aantal diensten zijn niet langer beschikbaar. De communicaties zijn feitelijk ontregeld. Daarom kan men zeggen dat de aanval een daad van cyberoorlog is” [Roel Schouwenberg van beveiligingsbedrijf Kaspersky, in The Guardian, 5.9.11].
|
Op de server van Diginotar werd een script aangetroffen dat bedoeld was om handtekeningen aan te maken voor aangevraagde certificaten. Het script bevat een Engelse tekst waarin de hacker zijn vingerafdruk had geplaatst: Janam Fadaye Rahbar. Dezelfde tekst was gevonden in de Comodo hack [Onderzoeksrapport van Fox-It].
|
Maar daar zijn niet alle beveiligingsexperts het mee eens. Robert Graham, de CEO van Errata Security, wisselde e-mails met de inbreker en bevestigde dat hij inderdaad verantwoordelijk was voor de hacks. De persoon die claimde dat hij eerder het certificatiesysteem van Comodo had gehackt, beschikte inderdaad over de private key van zijn ontvreemde certificaten. Graham gelooft niet in de Iran-connectie:
“We gaan uit van de vooronderstelling dat iedereen die de regering steunt daar ook voor de regering werkt en dat is gewoon niet waar. Mijn theorie is dat hij precies is wie hij zegt dat hij is. Alle sporen wijzen in deze richting. Er is geen enkel bewijs dat hij onderdeel is van een door de staat gesponsorde inspanning. De aanval is niet zo ingewikkeld. Het is gewoon iets wat een gemiddelde penetratietester zou doen” [Errata Security, 28.3.11].
Onder de naam Commandohacker plaatste de inbreker op 5 september 2011 een waarschuwing op Pastebin: “I strike back again.” In een nogal verward betoog legt hij uit dat de Nederlandse overheid moet boeten voor de acties van haar soldaten in Srebrenica, waar tijdens de Bosnische oorlog in 1995 achtduizend moslims werden gedood door Servische strijdkrachten. De hele investering van de Nederlandse overheid in DigiNotar zou door zijn acties voor niets geweest zijn: “I thought if I issue certs from Dutch Gov. Certificate Authority, they’ll lose a lot of money.” Daarbij verwijst hij naar de beursnotering van Vasco, het moederbedrijf van DigiNotar.
In persinterviews presenteerde de hacker zichzelf als een 21-jarige Iraanse student.
Op 23 maart 2011 verklaarde Comodo dat hij acht dagen daarvoor nepcertificaten had gestolen voor de log-on sites van Microsoft’s Hotmail, Google’s Gmail, de internet telefoon en chatdienst van Skype en Yahoo Mail. Hij verduisterde ook een certificaat voor Mozilla’s Firefox add-on site.
|
Bedreigingen
Een week na zijn aanval op de digitale certificaten van Comodo stuurde de hacker —die zich ook wel ‘Ich Sun’ noemt— een brief aan de Italiaanse vicepresident van Comodo, Massimo Pence. Hij maakt zich daarin erg boos over het feit dat de topman van Comodo niet op zijn brieven reageert. “Because I didn’t saw your reply, for now, just for now, I wiped your LG Drive and F:\drive and all log files.” Hij dreigt nog veel verdergaande maatregelen te nemen als Pence niet op hem reageert. “So now, contact me before I do something so dangerous. Simply personally contact me, do not try to find me, do not try to remove me, do not try anything...”
|
De CEO van Comodo, Melih Abdulhayoglu, zei dat hij over bewijzen beschikte dat de aanval door een staat werd ondersteund en dat waarschijnlijk de Iraanse regering achter de aanval zat. Alleen de Iraanse regering was in staat om de DNS (domain name system) van het land zo in te richten dat het verkeer naar fake sites werd verstuurd die beveiligd waren door gestolen certificaten. Maar de Comodo hacker spreekt dit tegen. In zijn eerste bericht op Pastebin benadrukt hij zijn alleenrecht op de certificatendiefstal:
“I see Comodo CEO and other wrote that it was a managed attack, it was a planned attack, a group of cyber criminals did it, etc. Let me explain: I’m not a group, I’m single hacker with experience of 1000 hacker, I’m single programmer with experience of 1000 programmer, I’m single planner/project manager with experience of 1000 project managers, so you are right, it’s managed by 1000 hackers, but it was only I with experience of 1000 hackers” [A message from Comodo hacker, 23.2.11].
De hacker motiveert zijn actie als een vergelding voor de door Stuxnet-aanval die de VS en Israël pleegden op de kerncentrales in Iran.
“When USA and Israel write Stuxnet, nobody talks about it, nobody gots blamed, nothing happened at all, so when I sign certificates nothing happens, I say that, when I sign certificates nothing should happen. It’s a simple deal. When USA and Israel could read my emails in Yahoo, Hotmail, Skype, Gmail, etc. without any simple little problem, when they can spy using Echelon, I can do anything I can. It’s a simple rule. You do, I do, that’s all. You stop, I stop. It’s rule #1.”
Comodo wil in Iran niemand wil toelaten die de bevolking, haar nucleaire wetenschappers, zijn leider, zijn president kwaad doet. Zolang hij leeft zal er voor ‘jullie’ geen privacy op internet bestaan en zullen ‘jullie’ niet veilig zijn in de digitale wereld. “I’ll show you how someone in my age can rule the digital world.” En met een knipoog: “My orders will equal to CIA orders.”
In zijn tweede bericht Another proof of Hack from Comodo Hacker [27.3.11] gaf hij een uitvoerig technisch bewijs van zijn inbraak. In een derde bericht Comodo Hacker: Mozilla Cert Released [28.3.11] werd voor “some real dumbs” nog een bewijs aan toegevoegd. In zijn vierde bericht Just Another proof from Comodo Hacker [28.3.11] en in het vijfde bericht Response to comments from ComodoHacker [29.3.11] reageert hij uitvoerig op alle commentaren.
In de laatste twee berichten vertelt Comodohacker dat hij de laatste zes jaar van zijn leven besteed heeft aan encryptie en cryptoanalyse: “most of my daily work focuses on encryption algorithms, differential cryptanalysis, inventing new methods of attacks on encryption algorithms, creating new secure encryption algorithms (symmetric and asymmetric), creating secure hash algorithm.” Hij nodigt iedereen uit om contact met hem op te nemen op: ichsun@ymail.com.
Bij cyberaanvallen is meestal niet duidelijk wie daarvoor verantwoordelijk is. Bij DigiNotar lijkt de eerste verantwoordelijkheid voor de diefstal van beveiligingscertificaten duidelijk. De Comodo Hacker alias Ich Sun eiste de verantwoordelijkheid op en kon dit —door het tonen van de private key— ook bewijzen. Dit sluit betrokkenheid van de Iraanse overheid bij deze cyberoperatie niet uit — zij kan hiervan voor eigen repressieve doeleinden hebben geprofiteerd.
“Als je mekaar niet meer vertrouwen kan,
waar blijf je dan...” |
|---|
In cyberspace is attributie bijna altijd fundamenteel omstreden. Wat niet omstreden is zijn de effecten van deze operatie. Wanneer al dan niet door overheden gesponsorde hackers erin slagen om fundamentele vertrouwensmechanismen in de digitale wereld te compromitteren, brengen zij een ernstig slag toe aan de veiligheid van transacties en communicaties via internet. Het exploiteren van beveiligingssoftware is de meest geavanceerde vorm van cyberspionage. Naties en nationale defensies die niet in staat zijn om de vertrouwensmechanismen van hun digitale transacties en communicaties te beschermen, staan bij internationale conflicten die (ook) in cyberspace worden uitgevochten bij voorbaat op achterstand.
|
Certificatendiefstal neemt toe
Wereldwijd zijn er meer dan vijfhonderd certificaatautoriteiten (CA). Steeds meer malware wordt getekend met gestolen certificaten van legitieme bedrijven. In 2010 werden er 39.000 certificaten gestolen, in 2011 bijna 54.000 [Security.nl, 22.6.11]. Met de frauduleuze certificaten worden gebruikers en beveiligers misleid dat het om een legitieme applicatie gaat. Meestal stelen aanvallers alleen de sleutels van de certificaten, waarmee ze hun eigen malware van deze certificaten kunnen voorzien.
|
Beveiligingscontrole en penetratietest
Een hoogwaardige en complexe cyberaanval vereist een lange voorbereidingstijd. Eerst moet een zo nauwkeurig mogelijk beeld worden verkregen van de doelwitten. Er moet een blauwdruk worden opgesteld van de technische computersystemen (footprinting), van alle informatie- en communicatieprocessen, en van de mensen die deze technologieën bedienen. Pas dan is het mogelijk een aanvalstactiek te ontwikkelen die ongemerkt door de beveiligingsmechanismen kan dringen.
Cybercriminelen kunnen de benodigde informatie maar gedeeltelijk via online spionage verwerven. In veel gevallen blijft het noodzakelijk om persoonlijk te infiltreren in de systemen van de doelwitten of om interne informanten (mollen) te rekruteren.
Van bedrijven en overheidsinstellingen wordt verwacht dat ze de kritische kwetsbaarheden van de eigen systemen en netwerken afdekken. De beheersing van de eigen risico’s vindt op twee manieren plaats.
|
Wat doet een penetratietester?
Een penetratietester (a) verkent de kwetsbaarheden van een computersysteem of netwerk; (b) bepaalt de in- en uitgangsrisico’s; (c) definieert de exploitatiemogelijkheden van gevonden kwetsbaarheden (d) test alle systemen op zwakke wachtwoorden; (e) gebruikt mensen —mollen, insiders— om toegang te krijgen tot informatie en systemen: via lokmails, geïnfecteerde USB-sticks, telefoongesprekken en andere methoden van misleiding; (f) onderzoekt de mogelijkheden om controle over computersystemen en netwerken over te nemen: directe toegang tot gegevens in databanken, installeren van keyloggers en het overnemen van schermcontrole; (g) verzamelt bewijzen dat men daadwerkelijk binnen is, middels screenshots, wachtwoorden, decryptiecodes of ontvreemde bestanden; (h) rapporteert over de wijze waarop tijdens de penetratietest in het netwerk werd ingebroken en toegang werd verkregen tot geheime informatie en vertrouwelijke communicatie; en (i) doet verbeteringsvoorstellen voor een effectievere verdediging van de eigen computersystemen en netwerken en voor de versterking van de aanvallen op vijandige systemen.
Wat is een exploit?
Een exploit is een stukje software (bestaande uit coderegels) dat gebruik maakt van een kwetsbaarheid in de software van een elektronisch apparaat om onverwacht en door de eigenaar van het apparaat meestal ongewenst gedrag te veroorzaken op de software of hardware van dat apparaat.
Een exploit omvat de injectie (mechanisme om shellcode op de gekraakte computer aan te brengen), de shellcode (programma/instructies die een aanvaller probeert uit te voeren op gekraakte computer) en de payload (code met commando’s die op het doelsysteem moeten worden uitgevoerd) . De shellcode wordt gebruikt als de payload in de exploitatie van een kwetsbaarheid in de software.
|
Automatische spionnen
De weerbaarheid en het herstelvermogen van computersystemen en netwerken kan handmatig worden getest. Dat is wat veel hobbyistische en ambachtelijke hackers doen. Professionele inbrekers gebruiken gespecialiseerde softwarepaketten waarmee beveiligingscontroles en penetratietests automatisch worden uitgevoerd.
Net als alle andere instrumenten voor netwerkverkenning en computerbeveiliging worden deze pakketten zowel gebruikt door systeembeheerders die hun netwerk proberen te beveiligen als door cybercriminelen die in die netwerken proberen in te breken.
In het volgende schema zijn de belangrijkste verkennings- en testfuncties van automatische spionnen in kaart gebracht.
| Verkenningsfuncties
|
| Host-discovery |
Identificeren van de op een netwerk aanwezige hosts (via ping- of arp-scans). |
| Port-scanning |
Zoeken naar open TCP/IP-poorten op een of meerdere doelcomputers |
| OS-detection |
Bepalen welke besturingssystem de doelcomputer gebruiken |
| Service-detection |
Inventariseren van de diensten die het systeem aanbiedt. |
| Version-detection |
Inventariseren van welke versies er gebruikt worden van aangeboden diensten. |
| Packet filter/Firewall detection |
Identificatie type van type packet filter en firewall. |
| Testfuncties
|
| Vulnerability detection |
Testen van doelsysteem en aangeboden diensten op aanwezige kwetsbaarheden. |
| Penetratietest |
Simuleren van externe en interne aanvallen. |
| Exploit design |
Ontwikkelen en testen van exploitatieprogramma’s die gebruik maken van
kwetsbaarheden van computersystemen en netwerken om daarop in te breken. |
Bij de verkenningen worden tientallen systeemkenmerken in kaart gebracht. Meerdere computers kunnen tegelijkertijd op diverse kenmerken en kwetsbaarheden worden gecontroleerd.
Met behulp van eenvoudige scripts wordt een grote diversiteit van tests geautomatiseerd. Om maximale snelheid en flexibiliteit te garanderen kunnen deze scripts parallel worden uitgevoerd.
Alle diensten (TCP of UDP) die door een netwerk worden aangeboden, worden getest om te bepalen of en hoe daarop kan worden ingebroken, of er DDoS-aanvallen op uitgevoerd kunnen worden, en of er via deze diensten gevoelige informatie verkregen kan worden.
De meer geavanceerde softwarepakketten fungeren als platform voor het ontwikkelen, testen en gebruiken van inbraakmethodieken (exloits) die onzichtbaar zijn voor antivirussoftware en voor systemen van inbraakdetectie en -preventie.
Voorbeelden van dit soort pakketten zijn Shodan, Nessus, OpenVAS, Core Impact, SAINT, Wireshark, Metasploit en het commerciële Finfisher.
- Telnet (TELetype NETwork) is een netwerkprotocol waarmee je op afstand kunt inloggen op een computer om die vervolgens via een opdrachtregel te besturen. De eigen computer fungeert dan als terminal van de server. Meestal maakt Telnet gebruik van TCP/IP-poort 23.
Het Telnet-protocol is slecht beveiligd: alle gegevens, meestal inclusief wachtwoorden, worden in leesbare vorm over het netwerk verstuurd. Daarom wordt Telnet steeds minder gebruikt. Steeds meer gebruikers stappen over op het versleutelde alternatief SSH (Secure Shell).
Tegenwoordig wordt Telnet vooral gebruikt voor het opzetten, testen en herzien van verbindingen die onder andere protocollen draaien.
- Nmap (Network Mapper) is een opensource programma voor netwerkverkenning en beveiligingscontrole. Het is een uiterst krachtig, multifunctionele cyberspion. Naast een zeer uitgebreid repertoire aan ingebouwde modules voor verkenning en testing, heeft Nmap heeft een ingebouwde Scripting Engine waarmee gebruikers zelf scripts kunnen schrijven om het vergaren van inlichtingen te automatiseren. Nmap werd ontwikkeld om grote netwerken te scannen, maar werkt ook uitstekend tegen afzonderlijke computers.
 Na haar lancering in 1997 werd Nmap snel een populair instrument voor netwerkspecialisten en hackers. Gordon ‘Fyodor’ Lyon schreef het boek NMAP Network Scanning [2009] waarin hij uitvoerig uitlegt hoe het programma gebruikt kan worden. In diverse films werd van Nmap gebruik gemaakt: The Matrix Reloaded, The Bourne Ultimatum en Die Hard 4.0. In de Matrix maakt Trinity gebruik van Nmap om in te breken op de elektriciteitscentrale van de stad. Het was de eerste grote film waarin op adequate wijze een hack werd geportretteerd.
|
- Shodan (Sentient Hyper-Optimized Data Access Network) is een zoekmachine waarmee je op het internet naar computers kunt zoeken. Het is de Google voor hackers waarmee zowel gezocht kan worden naar apparaten op bepaalde plaatsen (steden, landen, lengte/breedtegraden), als naar hostname, besturingssysteem of IP-nummer. Je vind er webservers mee, maar ook industriële controlesystemen, ijskasten en alles wat er verder met het internet verbonden is: webcams, routers, energiecentrales, windturbines, smartphones, VoIP telefoons.
Shodan werkt eigenlijk heel eenvoudig: het zoekt het hele internet af naar poorten van webservers en indexeert alle HTTP headers die gevonden worden. Je kunt zoeken naar een kwetsbaarheid die je op een doelsysteem kunt exploiteren, maar je kunt ook een exploit kiezen en vervolgens een systeem zoeken dat daar kwetsbaar voor is. Zo wordt het kinderlijk eenvoudig om systemen te vinden die kwetsbaar zijn voor een SQL-injectie. Met Shodan kunnen hackers razendsnel en efficiënt systemen vinden waarop gemakkelijk kan worden ingebroken.
John Matherly
|
|---|
Shodan werd ontworpen door John Matherly. In 2003 vroeg hij zich als teenager af hoeveel hij aan de weet kon komen over apparaten die aan het internet verbonden zijn. Na jaren sleutelen aan de code vond hij een manier om de specificaties van alle apparaten in kaart te brengen: van desktopcomputers tot netwerkprinters en websevers.webcams, routers, energiecentrales, iPhones, windturbines, ijskasten en VoIP telefoons. auto’s, beveiligingssystemen, en industriële controlesystemen. Op dit moment zijn al meer dan 12 miljard van alle apparaten met het internet verbonden en in het volgende decennium zullen dat er 50 miljard zijn.
|
Een kwaadaardige godin
John Matherly was geobsedeerd door de digitale wereld. Hij ontleende de naam van zijn project aan een kwaadaardig karakter in het videospel System Shock II. Het karakter Shodan (Sentient Hyper-Optimized Data Access Network) is een kunstmatige intelligentie entiteit. Shodan houdt zichzelf voor een godin wier bestemming het is om alle mensen te vernietigen.
|
In 2009 nodigde Matherly zijn vrienden uit om Shodan uit te proberen. Zij ontdekten iets verbazingwekkends: talloze industriële controlecomputers waren verbonden aan het internet en in een aantal gevallen stonden zij ver open voor exploitatie door zelfs gematigd getalenteerde hackers.
In twee jaar tijd vond Shodan bijna honderd miljoen apparaten: legde hun precieze locatie vast en de software systemen die er op gebruikt worden. Per maand compileert Shodan de informatie van 10 miljoen nieuwe apparaten. In 2010 waarschuwde het Amerikaanse cybercrisisteam voor industriële controlesystemen (ICS-CERT) dat Shodan gebruikt werd om toegang te krijgen tot SCADA-systemen. Daarbij wordt gebruik gemaakt van kwetsbaarheden in de mechanismen voor authenticatie en autorisatie. Sommige identificatiesystemen maken nog steeds gebruik van de standaard gebruikersnamen en wachtwoorden zoals deze door de verkopers van SCADA-systemen worden aangeleverd.
- Nessus is een programma om de beveiliging van computers en computernetwerken te testen. Het serverprogramma zorgt voor de eigenlijke scans; via het clientprogramma kan verbinding worden gemaakt met het serverprogramma. Aanvankelijk was Nessus gratis en open source, maar in 2005 werd de broncode gesloten en kost het programma $ 1.200 per jaar. Er is nog wel een gratis Home Feed beschikbaar, maar deze is beperkt en kan alleen worden gebruikt voor thuisnetwerken.
- OpenVAS (Open Vulnerability Assessment System) is een kwetsbaarheidsscanner en manager (beveiligingscontrole). Het softwarepakket is afgeleid van de laatste vrije versie van Nessus (Nessus werd in 2005 commercieel). OpenVAS detecteerd meer dan 2.000 kwetsbaarheden in computersystemen en kan meerdere computers tegelijkertijd te controleren op kwetsbaarheden. Het genereert rapporten in diverse formaten (inclusief XML en HTML). Met een eenvoudige scripttaal (NASL) kan de gebruiker het programma zelf aanpassen en scripts schrijven waarmee kwetsbaarheden in computersystemen geadresseerd kunnen worden.
- Core Impact is een van de meest krachtige exploitatie-instrumenten, maar kost wel minstens $30.000. Het programma heeft een paar aardige trucs in huis: eerst wordt ingebroken in een computer en vervolgens wordt in die machine een een geëncrypteerde tunnel aangelegd om andere netwerkstations te bereiken en te exploiteren.
- SAINT (Security Administrator’s Integrated Network Tool) is een netwerkscanner die zoekt naar kwetsbaarheden waarop kan worden ingebroken. Zowel interne als externe aanvallen kunnen worden gesimuleerd om de robuustheid van het doelsysteem te bepalen. Alle diensten die op een netwerk worden aangeboden worden getest op inbraakgevoeligheid, mogelijkheden om de toegang tot deze diensten te blokkeren en op de kans om gevoelige informatie te vervreemden. De gevonden kwetsbaarheden kunnen op verschillende manieren worden gecategoriseerd: naar ernst, type of hoeveelheid. SAINT controleert niet alleen of er kan worden ingebroken op de poorten van de computers van een netwerk, maar kan ook DOS-aanvallen uitvoeren en gevoelige informatie stelen.
-
Wireshark is een opensource softwarepakket voor het analyseren van netwerkprotocollen. Het is een krachtige packet sniffer die gebruikt wordt om gegevens die in een computernetwerk circuleren op te vangen en te analyseren. Door de netwerkkaart in de promiscue modus te zetten, laat het programma zien welke gegevens over het netwerk worden verstuurd. Wireshark ‘begrijpt’ de structuur van honderden netwerkprotocollen en mediatypen. Het geeft niet alleen de geneste protocollen weer, maar ook de inhoud van de velden die door deze netwerkprotocollen zijn gespecificeerd. Met plug-ins kunnen nieuwe protocollen worden ontleed.
Systeembeheerders gebruiken dit programma om de meest uiteenlopende netwerkproblemen op te lossen. Wireshark wordt ook gebruikt in cyberforensisch onderzoek naar virussen en spyware. In 2009 werd Wireshark bijvoorbeeld gebruikt om het spionagenetwerk GhostNet op te sporen [IWM 2009:15], waarmee ook een Nederlandse NAVO-basis werd afgeluisterd.
- Metasploit is een geavanceerd opensource beveiligingsprogramma dat de kwetsbaarheden van computersystemen in kaart brengt. Het is een platform voor het ontwikkelen, testen en gebruiken van exploitcode die misgebruik maakt van kwetsbaarheden van computernetwerken om daarop in te breken. De penetratietester maakt de testaanvallen onzichtbaar voor antivirus software en voor Intrusion Detection / Prevention systemen (IDS/IPS).
Aan dit bouwpakket voor hackers worden telkens nieuwe modules toegevoegd. Medio 2012 werd er bijvoorbeeld een module toegevoegd waarmee de veiligheid van beveiligingscamera’s getest kan worden. Veel camera’s die voor video surveillance worden gebruikt zijn kwetsbaar en kunnen door kwaadwillenden op afstand worden overgenomen. Zij kunnen dan niet alleen live meekijken, maar ook de camera besturen en het opgeslagen archiefmateriaal bekijken [Security, 18.5.12]
Metasploit heeft ook diverse modules —zoals modicon_command en modicon_stux_transfer— waarmee kwetsbaarheden van procescontrolesystemen (PCS/SCADA-systemen) getest en geëxploiteerd kunnen worden [Scadahacker]. Bij de analyse van de werking van de bekende Stuxnet-worm zullen we zien welke gevolgen dergelijke exploitaties kunnen hebben.
- FinFisher - offensieve informatievergaring
In dit promo-filmpje op YouTube is te zien
hoe het systemen en apparaten overneemt.
|
FinFisher is een zeer krachtig en geraffineerd spionagewapen dat door het Britse softwarebedrijf Gamma Group wordt ontwikkeld en dat uitsluitend verkocht wordt aan opsporingseenheden van overheden voor surveillance in het digitale domein.
FinFisher is een uitgebreid pakket met offensieve technieken voor informatievergaring: afluisteren op afstand, infecteren en controleren van computers en smartphones en het meelezen met verzonden en ontvangen berichten (ook wanneer deze gecodeerd zijn). Er worden kwaadaardige hackingtechnieken gebruikt waarmee inlichtingendiensten informatie vergaren die ze erg moeilijk op legale wijze kunnen verkrijgen [OWNI, 32.10.12].
De FinUSB Suite bestaat uit een ‘headquarter notebook’ en tien kleine USB-sticks die speciaal ontworpen zijn om gebruikersnamen en wachtwoorden te kapen en om de laatst geopende of gewijzigde bestanden te stelen. De spyware verzamelt in ongeveer 20 seconden de geschiedenis van bezochte sites, instant messages en de inhoud van de prullenmand. De USB-stick weet door eventueel beschermende wachtwoorden heen te breken en laat geen enkel spoor na. Kosten: 13.080 euro [Brochure; Video].
Met de FinIntrusion Kit kunnen de beveiligingsmechanismen van draadloze netwerken zoals Wifi worden doorbroken. Zelfs als het doelwit SSL gebruikt —het protocol voor beveiligde communicatie op het internet— dan kunnen heimelijk zowel het webmailverkeer als de sociale netwerken worden gemonitord. Kosten: 30.600 euro; [Brochure;
Video;
Specificaties;
Handleiding;
Produkt Training]. Wie op nationaal niveau wil spioneren gebruikt de FinFly ISP, waarmee de internetproviders zelf worden geïnfiltreerd [Brochure;
Video].
De FinSpy PC is een professioneel Trojaans paard dat gebruikt wordt om doelwitten te observeren die regelmatig reizen, hun communicatie encrypteren, anoniem surfen en die vaak in buitenland verblijven. FinSpy PC werkt op alle grote besturingssystemen (Windows, Mac en Linux) en wordt door de veertig meest gebruikte virusscanners niet herkend. Alle communicatie (e-mail, Skype, VoIP, bestandstransfer, wifi) en alle internetactiviteiten kunnen in real time worden afgeluisterd en kan ook het eventuele tweede beeldscherm automatisch worden afgekeken. FinSpy biedt volledige toegang tot alles wat er op de harddisk van de computer staat, inclusief bestanden in de prullenbak en crypto containers. Desgewenst kunnen webcam en microfoon op het apparaat van het doelwit worden aangezet [Brochure; Video;
Specificaties;
Handleiding;
Installatie & Training;
Product Training;
Antivirus Test]. FinSpy PC kost 202.200 euro.
|
WhatsApp gekraakt
Met de nieuwste versies van FinSpy Mobile wordt ook de geëncrypteerde databank van WhatsApp automatisch ontsleuteld [FinSpyMobile 4.51].
|
Met FinSpy Mobile kunnen alle typen smartphones en tablets (iPhone, BlackBerry, iOS, Symbian, Android en Windows Mobile) worden afgeluisterd, zelfs als de communicatie is geëncrypteerd. Alle typen communicatie kunnen worden geregistreerd of direct afgeluisterd: telefoongesprekken, SMS, MMS enz. Alle gegevens die op een mobiel apparaat van het doelwit staan (contacten, kalenders, foto’s, bestanden) zijn toegankelijk. Door ‘silent calls’ kan op afstand naar de microfoon geluisterd worden. Uiteraard is de geografische locatie van het apparaat op elk tijdstip bekend [Brochure; Video; Handleiding; FinSpyMobile 4.51]. FinSpy Mobile wordt verkocht voor 202.200 euro.
De FinFly Web is een instrument om een webpagina te maken waardoor de computers van alle bezoekers met de spyware worden besmet. In de handleiding wordt uitgelegd hoe doelwitten naar zo’n webpagina kunnen worden gelokt en hoe ze kunnen worden verleid om een bestand te downloaden dat afkomstig lijkt te zijn van een bekend softwarebedrijf, zoals een plug-in van Flash of RealPlayer of een Java-applet. Daarbij wordt nadrukkelijk vermeld dat het programma zeer geschikt is om dissidenten te infecteren die websites bezoeken die de overheid onwelgevallig zijn
[Brochure;
Video]. Kosten: 36.600 euro.
Het is niet verbazingwekkend dat FinFisher zeer populair is in repressieve regimes. In het hoofdkwartier van de staatsveiligheidsdienst vonden Egyptische demonstranten op 6 maart 2011 een offerte om voor € 287.000 FinFisher te kopen [F-Secure, 8.3.11]. In april en mei 2012 bleek dat ook in Bahrein de spyware via lokmails naar activisten was verstuurd om hen af te luisteren [Citizenlab, 25.6.12; Bloomberg, 25.6.12; Security, 9.8.12]. De spionagesoftware van Gamma wordt gebruikt voor het opsporen en afluisteren van dissidenten en is in ieder geval ook in handen gekomen van de staatsveiligheidsdiensten van de Verenigde Arabische Emiraten, Quatar, Ethiopië, Mongolië en Turkmenistan [zie het overzicht van FinFisher klanten; zie ook de prijslijst van Gamma producten].
|
Schending van mensenrechten & illegale export van spyware
In 2012 identificeerd het Citizen Lab van de Universiteit van Toronto de eerste kopieën van FinFisher in de e-mails die verstuurd waren naar Bahrain Watch lid Ala’a Shehabi en twee andere Bahreinse activisten in Washington en Londen.
In februari 2013 diende Bahrain Watch samen met vier andere internationale mensenrechtengroepen een klacht in tegen Gamma bij de OECD (Organisation for Economic Co-operation and Development) voor het verbreken van haar richtlijnen over mensenrechten door het exporteren van haar software naar de overheid van Bahrein. Tegelijkertijd verzocht de mensenrechtengroep Privacy International de douaneafdeling van Groot-Britannië om Gamma te onderzoeken voor het potentieel illegale export van spyware naar Bahrein. Begin 2014 tikte het hooggerechtshof de overheid hard op de vingers voor het verbergen van details in deze kwestie [Privacy International, 12.5.214].
Gamma heeft altijd ontkend dat zij spyware aan de regering van Bahrein heeft verkocht. Maar er zijn te veel bewijzen van het tegendeel [BahrainWatch, 7.8.14].
|
Programma’s voor beveiligingscontrole en penetratietesting kunnen nog zo geavanceerd zijn, uiteindelijk zijn het de mensen die computersystemen bedienen (humanware) die bepalen of die systemen effectief beveiligd worden of wanneer de kwetsbaarheden daarvan daadwerkelijk worden geëxploiteerd.
Wachtwoorden kraken
a. Standaard wachtwoorden
Het is verbazingwekkend hoe gemakkelijk het cybercriminelen vaak gemaakt wordt. Heel vaak vergeten gebruikers of systeembeheerders het standaard wachtwoord van een nieuw informatiesysteem te wijzigen. Een crimineel hoeft dan alleen maar de handleiding van zo’n systeem te bemachtigen.
Op die manier kreeg bijvoorbeeld in 2011 een hacker toegang tot de watervoorziening in Houston (Texas). Hetzelfde gebeurde in 2012 met het Cisco-vergadersysteem bij het Nederlandse ministerie van Defensie. Het standaard fabriekswachtwoord van het communicatiesysteem stond in de online handleiding. Na een tip van de hackersgroep «Anonymous» werd het lek gevonden door beveiligingsexpert Rickey Gevers. Hij opende de inlogpagina van een topman bij de Defensie Materieel Organisatie (DMO) met de rang van commandeur. Op die manier kreeg hij een aantal IP-adressen en telefoonnummers van kazernes en kantoren, vermoedelijk ook van het Nationaal Crisis Centrum [Volkskrant, 23.02.12; Hulsman 2012].
Herhaaldelijk is gebleken dat ook op eenvoudige wijze kan worden ingebroken op procescontrolesystemen (zoals SCADA) waarmee industriële machines en nutsvoorzieningen worden aangestuurd. Deze systemen werden gebouwd om veilig achter stenen muren hun werk te doen. Door hun verbindingen met het internet is deze stenen beveiliging echter waardeloos geworden. Bij inbraak wordt gebruik gemaakt van de kwetsbaarheid van de methode van identificatie en autorisatie. De standaard wachtwoorden kunnen meestal gemakkelijk worden gevonden in online documentatie of in online opslagplaatsen voor standaardwachtwoorden.
Dr. Strangelove
|
|---|
In januari 2013 publiceerden twee Russische beveiligingsonderzoekers, Alexander Timorin en Dimitry Sklyarow, een instrument voor het kraken van wachtwoorden waarmee het verkeer binnen SCADA-omgevingen wordt beveiligd. Het Siemens S7-protocol regelt de communicatie tussen SCADA-systemen en PLC, HMI (human-machine interface) en engineering stations. Om de inhoud van dit verkeer te beschermen ondersteunt dit protocol het gebruik van wachtwoorden. Als een aanvaller erin slaagt het TCP/IP-verkeer te onderscheppen, kan met dit instrument het gebruikte wachtwoord kraken [SCADA Strangelove].
|
b. Voor de hand liggende wachtwoorden raden
Mensen gebruiken wachtwoorden die ze gemakkelijk kunnen onthouden. Maar juist daarom kunnen ze ook makkelijk worden geraden door wachtwoordkrakers. De meest voorkomende wachtwoorden zijn ‘password’ en ‘123456’ [Burnett 2011]. Verder wordt er vaak gebruik gemaakt van de eigennaam van de gebruiker en van namen van echtegenoten, familieleden, geboorteplaatsen, voetbalteams, automerken of huisdieren.
Uit onderzoek blijkt dat bijna de helft van de medewerkers de wachtwoorden kent van directe collega’s. 91% van de mensen gebruikt een wachtwoord van de lijst met 1.000 meest populaire wachtwoorden. Bovendien gebruiken veel mensen hetzelfde wachtwoord voor verschillende informatiesystemen. Slimme crackers weten dat en maken daar vaak handig gebruik van.
|
Voor een reep chocola
Kantoormedewerkers blijken nog altijd snel bereid om hun pc-wachtwoord prijs te geven. Meer dan 70 procent doet dat zelfs in ruil voor een chocoladereep.
In het jaarlijkse onderzoek ter gelegenheid van de InfoSecurity-beurs in Londen ondervragen de onderzoekers aan de vooravond hiervan kantoormedewerkers op een druk metrostation in de hoofdstad.
In 2003 bleek de overgrote meerderheid zijn wachtwoord te geven voor een pen. In 2004 was de beloning een chocoladereep. 71 procent was bereid de geheime informatie te overhandigen, waarvan meer dan de helft zonder enige aarzeling. Meer dan 34% van de respondenten stond zelfs vrijwillig het wachtwoord af zonder omkoping. Hen werd alleen gevraagd of het wachtwoord iets te maken had met een huisdier of de naam van de kinderen [BBC News].
|
c. Kraken met woordenboeken
Cybercriminelen kunnen de identiteit van een slachtoffer achterhalen en hun gebruikersnamen en wachtwoorden proberen te raden. Hiervoor is speciale software beschikbaar die razendsnel alle combinaties van bekende gebruikersnamen en wachtwoorden uitprobeert. Deze wachtwoordkrakers maken gebruik van woordenboeken die vaak gebruikte wachtwoorden bevatten.
Versleutelde wachtwoorden kunnen door sitebeheerders en dus ook door inbrekers weer leesbaar worden gemaakt. Bij gehashte wachtwoorden kan dat niet direct. Om gehashte wachtwoorden te achterhalen wordt elk woord uit het woordenboek gehasht met behulp van het door het doelsysteem gebruikte cryptografische hash algoritme. Wanneer het resultaat daarvan overeenkomt met de hashcode van het gezochte wachtwoord, dan is het wachtwoord gekraakt [Hash Code Cracker].
d. Kraken met brute computerkracht
Bij de methode van de brute kracht wordt uitsluitend de rekenkracht van een computer gebruikt om wachtwoorden te achterhalen zonder dat er gebruik gemaakt wordt van slimme algoritmen (instructies) of heuristieken (zoekregels) om deze berekening te versnellen. Alle mogelijke opties worden uitgeprobeerd totdat de gebruikersnaam en/of het wachtwoord gevonden wordt dat toegang biedt tot een computersysteem of netwerk. Deze methode is weliswaar inefficiënt en zeer tijdrovend, maar als alle mogelijke combinaties van beschikbare tekens worden uitgeprobeerd is ze 100% trefzeker.
Stel dat een computer 3 miljoen wachtwoorden per seconde kan raden. Dan kan de geschatte maximumtijd om een wachtwoord te vinden worden berekend met de volgende formule:
seconden = karakterposities/3.000.000
De tijden die nodig zijn om wachtwoorden te raden met de methode van de brute rekenkracht zien er dan als volgt uit.
| Samenstelling |
Aantal tekens |
Maximaal
aantal posities |
Benodigde tijd |
Kleine letters van alfabet
+ alle cijfers |
26+10=36 |
6 |
725,6 seconden = 12,1 minuten |
| Alle karakters op toetsenbord |
95 |
6 |
68 uur = 2,8 dagen |
| Alle karakters op toetsenbord |
95 |
8 |
25.594 dagen = 70 jaar |
De gemiddelde zoektijd naar een wachtwoord wordt meestal binnen de helft van de doorlopen zoekruimte gevonden. In de praktijk kan de berekende de zoektijd dus door twee worden gedeeld.
De zoektijd word nog korter als men meerdere computers gebruikt. Met deze techniek van parallellisatie wordt de rekentaak verdeeld over meerdere afzonderlijk opererende computers tegelijk. In plaats van één voor één de mogelijkheden te proberen doen meerdere computer dat tegelijkertijd. Het probleem wordt in stukken opgesplitst en aan meerdere computers toegewezen. Op die manier kan bij het kraken van een wachtwoord met 8 posities met een systeem van 100 processoren de tijd van 70 jaar worden teruggebracht naar 70/100 jaar = 8,4 maanden.
Als het rekenwerk tussen de computers goed wordt gecoördineerd om dubbelwerk te voorkomen, kan de zoektijd nog verder worden verlaagd. Deze techniek van distributed computing wordt onder andere gebruikt voor het Seti-project waarin gezocht wordt naar buitenaardse intelligentie en het Climateprediction.net dat onderzoek doet naar de opwarming van de aarde.
|
Robuuste wachtwoorden?
Volgens een rapport van Deloitte, Canadian Technology, Media & Telecommunications (TMT) Predictions 2013, kan meer dan 90% van de wachtwoorden van gebruikers binnen een paar seconden worden gekraakt. Nog niet zo lang geleden werden wachtwoorden van minstens 8 tekens (met een nummer, met kleine en grote letters, en met symbolen) als robuust gezien. Door de snelle ontwikkeling van hard- en software is dit inmiddels achterhaald. Met de juiste apparatuur en software kan een wachtwoord met 8 tekens nu binnen vijf uur worden gekraakt.
De Amerikaanse inlichtingendiensten NSA werkt aan de ontwikkeling van een supercomputer waarmee het bijna alle vormen van encryptie kan kraken [Washington Post 2.2.14]. Uit de door klokkenluider Edward Snowden gelekte documenten blijkt dat de bouw van een kwantumcomputer onderdeel is van een geheim onderzoeksproject met de naam Penetrating Hard Targets. De NSA heeft voor dit project bijna 80 miljoen dollar uitgetrokken. Gewone computers werken met bits, die enkel de waarde 0 of 1 kunnen hebben. Kwantumcomputers werken met kwantumbits (ook wel qubits), die gelijktijdig een 0 en een 1 kunnen zijn. De klassieke computer kan één berekeing per keer doen terwijl een kwantumcomputer in staat is om parallel te rekenen — ze voert tegelijkertijd bewerkingen uit op alle oplossingsmogelijkheden. Een kwantumcomputer kan berekeningen die onnodig zijn voor het oplossen van een probleem vermijden en is daardoor in staat om veel sneller het juiste antwoord te vinden.
|
e. Slim kraken met gefundeerde inschattingen
Mensen ontwerpen hun wachtwoorden volgens een bepaald patroon. Bijvoorbeeld een combinatie van een naam en een jaar. Anders dan een brute-kracht methode maakt de mask attack op slimme wijze gebruik van deze patronen om de zoektijd naar het wachtwoord te bekorten. Het is bijvoorbeeld gebruikelijk om een hoofdletter op de eerste posite te zetten. De mask-methodiek maakt gebruik van deze informatie om het aantal combinaties te beperken [Hashcat].
Akoestische penetraties: afluisteren
Penetratietesten kunnen ook op telefoonsystemen worden uitgevoerd. Er zijn programma’s die niet alleen telefoonsystemen verkennen, classificeren en controleren, maar ook bedrijfstelefooncentrales (PBX), modems, faxen, voicemail boxes, kiestonen, interactive voice response (IVR) en forwarders.
 In zijn lezing over acoustic intrusions
legt HD Moore de achtergronden en werking van WarVOX uit.
|
Een van de meest geavanceerde softwarepakketten voor het afluisteren is het door HD Moore ontwikkelde WarVOX. Beveiligingscontroleurs en penetratietester kunnen daarmee op een snelle en goedkope manier zoeken naar kwetsbaarheden van het eigen telefoonsysteem. Via Voice-over-IP-lijnen (internettelefonie) kunnen hele series telefoonnummers worden geïnspecteerd. In de database wordt opgeslagen wie of wat de telefoon op elk nummer heeft beantwoord. Door het gebruik van VoIP wordt wardialing minder duur en minder tijdrovend.
|
Bellen via internet
VoIP staat voor “Voice over IP”. De stem wordt via internet verstuurd in plaats van de telefoonlijnen. Bellen via internet is aanzienlijk goedkoper dan bellen via de vaste koperlijn of via digitale zendmasten.
|
WarVOX vereist geen telefonische hardware. Op een breedbandverbinding met een typische VoIP-account kan WarVOX meer dan 1.000 nummers per uur scannen. Er kunnen zo’n tien lijnen tegelijkertijd worden gebeld en van elk antwoord worden de eerste 20 seconden vastgelegd. Met deze audiobestanden worden niet alleen alle verbindingslijnen met modems in een bepaald gebied in kaart gebracht, maar alle communicatielijnen. Het programma classificeert alle telefoonverbindingen in een specifiek gebied en maakt daardoor een omvattende controle op een telefoonsysteem mogelijk.
WarVOX is eenvoudig te gebruiken en levert een schat aan beveiligingsinformatie voor organisaties die belang hebben bij veilige telefoonverbindingen én voor organisaties die belang hebben bij het afluisteren van die schijnbaar veilige mobiele communicatie.
|
Wardialing
«Wardialing» is een techniek waarbij een computer telefoonnummers binnen een gebiedscode of bedrijf systematisch afbelt om zo een modem of een ander toegangspunt te ontdekken waarlangs een hacker of cracker het netwerk kan binnendringen.
|
De naam voor deze techniek is ontleend aan de film WarGames uit 1983. Op zoek naar nieuwe computerspelletjes programmeert daarin een jonge hacker zijn computer om alle telefoonnummers in Sunnyvale (Californië) te bellen om andere computers te vinden. Per ongeluk komt hij zo ook in de oorlogscomputer van het ministerie van Defensie [Ryan 2004].
|
Bij wardialing wordt een onbekend nummer gebeld en gewacht tot de beltoon een of twee keer overgaat. Computers nemen meestal al bij het eerste signaal op. Als het belsignaal twee keer is verzonden, wordt er opgehangen en wordt het volgende nummer gebeld. Als een modem of faxmachine reageert dan noteert het programma het nummer. Als een persoon of antwoordapparaat reageert dan wordt er opgehangen.
In 2002 claimde een hacker dat 90 procent van de bedrijven via modemverbindingen kon worden aangevallen. Dat is tegenwoordig heel anders. In het breedbandtijdperk is het traditionele wardialing op z’n retour. Tegenwoordig leidt slechts 4 procent van de telefoonnummers naar een modem. Toch blijft wardialing bij penetratietesters populair. Dat komt vooral omdat sommige infrastructurele voorzieningen nog steeds gebruik maken van onveilige modems als onderdeel van hun SCADA-netwerk.
Wardriving
«Wardriving» is het zoeken naar draadloze netwerken (WiFI) vanuit een rijdend voertuig met behulp van een laptop, tablet of smartphone. Met brute kracht worden alle draadloze computernetwerken opgespoord en met behulp van GPS in kaart gebracht. De hiervoor benodigde software is vrij verkrijgbaar. Varianten hierop worden vernoemd naar het vervoermiddel dat gebruikt wordt om draadloze netwerken in kaart te brengen: warflying, warrailing, wartraining, warbiking, en uiteraard warwalking en warjogging.
|
Digitaal afluisteren richt zich in het bijzonder op mobiele communicatie en op telefooncentrales van particuliere bedrijven en instellingen. Het voordeel van het gebruik van een eigen PBX (Private Branch eXchange) is dat een organisatie niet al zijn telefoons op het publieke telefonienetwerk (PSTN) hoeft aan te sluiten. Op het publieke telefoonnet is voor elk toestel een aparte lijn vereist en worden interne gesprekken eerst naar buiten gestuurd worden, om dan even later terug binnen te komen. Maar ook PBX-systemen hebben veiligheidslekken die een onderneming in gevaar kunnen brengen. PBS-systemen zijn vaak zwak beveiligd tegenover nieuwsgierige concurrenten, afluisterende staatsinstellingen of kwaadaardige aanvallen van buitenaf. “Veel organisaties hebben een beleid met betrekking tot wachtwoorden of andere authenticatie certificaten voor de toegang tot computersystemen, maar schieten te kort bij PBX of voicemail systemen” [Mitnick/Simon 2005:136].
|
Een bekende techniek om de interne relaties van een organisatie in kaart te brengen is om alle werknemers van een bedrijf mobiel te bellen en hun stem op te nemen. Vervolgens worden alle telefoonnummers van het bedrijf gebeld en wordt eveneens de stem van de gebelde vastgelegd. Door vergelijking van alle audiofragmenten kunnen alle werknemers automatisch worden geïdentificeerd. WarVOX is hiervoor een uitstekend instrument.
|
Inlichtingendiensten gebruiken diverse technieken om in te breken in mobiele, draadloze en vastelijn communicaties. Het aftappen van telefonische communicatie kan zich richten op diverse doelen: het afluisteren van gesprekken, het inbreken op de voicemail, het bepalen van interne organisatorisch relaties, het identificeren van doelwitten voor impersonatie of het achterhalen van wachtwoorden.
Aftappen van telefoon
| Jaar | Aantal telefoontaps |
|---|
|
| Vast |
Mobiel |
Totaal |
| 1993 |
3.610 |
0 |
3.610 |
| 1994 |
3.284 |
0 |
3.284 |
| 1998 |
3.000 |
7.000 |
10.000 |
| 2007 |
3.997 |
20.985 |
24.982 |
| 2008 |
2.642 |
23.783 |
26.425 |
| 2009 |
3.461 |
21.263 |
24.724 |
| 2010 |
|
|
22.006 |
| Bron: Odinot e.a. 2012:82 |
In Nederland wordt de telefoontap veel frequenter ingezet dan in andere landen. Per dag lopen er in Nederland bijna evenveel telefoontaps als in de VS in een heel jaar. In 2008 liepen er dagelijks gemiddeld 1946 taps [Tapstatistieken 2008]. In 2012 werden ruimt 25.000 telefoons afgetapt. De statistische kans dat een Nederlandse burger onder de tap komt is 177 keer groter dan bij een Amerikaanse burger.
Daar staat tegenover “dat andere bijzondere opsporingsmiddelen, zoals infiltratie door undercoveragenten, of opnemen van vertrouwelijke informatie door middel van microfoons, juist minder vaak in Nederland worden ingezet” [Odinot e.a 2012; WODC 2012]. Omdat criminelen weten dat ze worden afgeluisterd, levert dit echter zelden direct bewijs op voor misdaad [WODC, 2012].
|
Het afluisteren en manipuleren van mobiele communicatiesystemen (smartphone, tablet en laptop) neemt sterk toe. De transmissie van digitale informatie verloopt over slecht of zelfs helemaal niet beveiligde kanalen en de software is nauwlijks beveiligd. Voor cyberhackers zijn PC’s nog steeds laaghangend fruit. Maar omdat het gebruik van mobiele platforms sterk toeneemt, ontwerpen virusmakers steeds meer malware die in staat is om je telefoon over te nemen, te exploiteren, af te luisteren.
BlackShades: een RAT van formaat
BlackShades is geavanceerde malware waarmee cybercriminelen op afstand volledige controle kunnen krijgen over de computer van een slachtoffer. Het is een Remote Access Tool (RAT) waarmee criminelen persoonlijke informatie kunnen stelen, toetsaanslagen onderscheppen en webcams aan kunnen zetten om heimelijk computergebruikers te observeren. Het kan ook gebruikt worden om grootschalige DDoS-aanvallen te faciliteren en om bestanden te versleutelen om daarmee losgeld te vragen van de slachtoffers. De RAT bevatte ook instrumenten (zogenaamde spreaders) om het aantal infecties te maximaliseren. Tenslotte kan het BlackShages-progrmma in zichzelf modificeren om antivirus software te misleiden. Uit de functies van BlackShades en de gebruiksaanwijzing blijkt dat deze malware ontworpen is om cybercrime mee te plegen. De handleiding bevat zelfs een conceptbrief waarmee losgeld kan worden afgedwongen bij slachtoffers waarvan de computer is gegijzeld. In mei 2014 had BlackShades meer dan een half miljoen computers in meer dan honderd landen geïnfecteerd.
BlackShades werd al sinds 2010 voor $40 tot $100 legaal verkocht aan duizenden mensen, die gezamenlijk voor een verkoop zorgde van meer dan $350.000. Het product werd verkocht via druk bezochtte hackersfora. Je hoeft geen geavanceerde hacker te zijn om met dit instrument ravages aan te richten. Met de grafische interface krijgen gebruikers een snel overzicht over alle computers die zij hadden geïnfecteerd, inclusief IP-adressen, naam en besturingssysteem van de computer, het land waar de computer staat en of de computer een webcamera had. “Blackshades was a tool created and marketed principally for buyers who wouldn’t know how to hack their way out of a paper bag (...) Many of the customers of this product are teenagers who wouldn’t know a command line prompt from a hole in the ground” [Brian Krebs, in: Krebs on Security, 14.5.14]. Op een zeer actief gebruikersforum konden klanten hulp krijgen bij het configueren en hanteren van het krachtige surveillance-instrument.
|
Smeerlapperij
In een eerder onderzoek naar BlackShades arresteerde de Nederlandse politie in oktober 2013 een 18-jarige man uit Rotterdam. Hij verspreidde de RAT vooral via geïnfecteerde plaatjes op sociale media over ongeveer 2.000 computers. De BlackShades RAT gebruikte hij om bestanden te stelen en om foto’s te nemen van vrouwen en meisjes binnen het gezicht van webcams. Ook publiceerde hij gênante of zelfs pornografische beelden op de social media-accounts van zijn slachtoffers [Webwereld, 13.12.13].
|
Na maanden van strafrechtelijk onderzoek door politie- en opsporingsinstanties in Europa, Amerika en Azië werden in 16 landen 97 mensen gearresteerd die ervan verdacht werden de kwaadaardige software te verspreiden. Daaronder was ook de eigenaar van BlackShade, een 24-jarige Zweed Alex Yücel. In 13 Europese land — België, Croatië, Denemarken, Duitsland, Engeland, Estland, Finland, Frankrijk, Italië, Moldavië, Nederland, Oostenrijk en Zwitserland — alsmede in de VS, Canada en Chili— deed de politie huiszoekingen op 359 lokaties waarbij geld, wapens, drugs en meer dan 1.000 gegevensdrages in beslag genomen [OM, 14.4.14].
In Nederland viel de politie binnen op 34 adressen en werd
beslag gelegd op 96 computers en laptops, 18 mobiele telefoons, 87 USB sticks en harde schijven en 55 andere gegevensdragers.
De wereldwijde actie werd gecoördineerd door Eurojust in Den Haag. Koen Hermans, de Nederlandse vertegenwoordiger in Eurojust benadrukte het belang van deze operatie: “Deze zaak toont maar weer eens aan dat niemand die gebruikmaakt van internet veilig is. Van deze operatie moet een afschrikkende werking uitgaan voor diegenen die deze software vervaardigen en gebruiken” [Europol, 19.5.14; Washington Times, 19.5.14].
De grootste hack van CyberVor
|
‘Vor’ is het Russische woord voor dief, maar wordt ook gebruikt als eretitel voor een lid van de Russische maffia.
|
De Russische hackersgroep CyberVor ontvreemdde vertrouwelijk materiaal van zo’n 420.000 websites en FTP-sites van bedrijven in de hele wereld. De bende richtte zich op elke website die zij konden kraken, van Fortune 500-bedrijven tot kleine websites. De oogst was enorm: 4,5 miljard accountgegevens, gekoppeld aan 1,2 miljard unieke namen en wachtwoorden en 500 miljoen unieke e-mailadressen.
De diefstal werd in augustus 2014 ontdekt door het Amerikaanse beveiligingsbedrijf Hold Security [NYT, 5.8.14]. Maar de namen van de bedrijven waar de informatie is gestolen zijn niet bekendgemaakt. Evenmin wilde Hold Security zeggen wat voor gegevens de dieven precies hadden bemachtigd. Bedrijven kunnen aan Hold Security vragen of zij slachtoffer zijn van deze en andere hacks. Maar voor deze Breach Notification Service moeten wel minstens 120 dollar per jaar betalen. Voor particulieren is het abonnement de eerste zestig dagen gratis [Hold Security, 5.8.2014]. HERLEZEN EN CHECK
De beveiligsspecialisten namen de berichten van Hold Security met een korreltje zout. Zij vroegen zich af waarom Hold Security haar gegevens niet openbaar maakte. Was de grootste hack ter wereld in werkelijkheid geen grote marketingstunt van Hold Security? [Data Breach Today, 7.8.14]. Gebruikt Hold Security de gestolen gegeven om er op zijn beurt geld mee te verdienen?
“Hold Security creëert angst en bied een betaalde dienst die de angst kan helpen wegnemen. Dat riekt naar maffiapraktijken” [Matthijs Koot, IT-beveiligingsspecialist in: VK, 12.08.2014].
|
@@@
Hold Security is een in Milwaukee gevestigd bedrijf van de Oekraïner Alex Holden. Het is een wat schimmig bedrijf. De foto van het managementteam blijkt gewoon een stockfoto, te koop bij een online fotowinkel onder de titel 'CEO met zijn team'. De foto staat bij tientallen bedrijfjes wereldwijd op de website.VK, 12.08.2014]. Maar foto nu verdwenen.
|
De bende kon de data vervreemden door gebruik te maken van een al bekende kwetsbaarheid die nog steeds in veel websites zit.[UITWERKEN @@]
Het lijkt erop dat er maar weinig persoonlijke informatie is doorverkocht. De bende zou de e-mailadressen en inloggegevens vooral gebruiken om spam te verspreiden via e-mail en Twitter.
De bende bestaat uit niet meer dan een dozijn hackers (twintigers), afkomstig uit een kleine stad in het zuiden van het Aziatisch deel van Rusland. In 2011 begonnen zij met het versturen van spam en het installeren van kwaadaardige redirections op legitieme systemen, op basis van gekochte databases met persoonlijke gegevens. Initially, the gang acquired databases of stolen credentials from fellow hackers on the black market. Vanaf april 2014 werd de operatie opgeschaald en werd er gebruik gemaakt van botnets (een grote groep met virus-geïnfecteerde computers die door een crimineel systeem worden gecontroleerd). [Ze gebruikten botnet om honderduizenden websites te scannen op bekende kwetsbaarheden]. “Meer dan 400.000 sites werden geïdentificeerd potentieel kwetsbaar te zijn voor een SQL-injectie" [Hold Security - "Over 400,000 sites were identified to be potentially vulnerable to SQL injection flaws alone"] In opdracht van de hackers testen de zombiecomputers of de door hun eigenaar bezochte websites kwetsbaar zijn. Met die informatie konden zij bepalen op welke sites kon worden ingebroken.
Cyberspionage in Nederland
Ook op het Nederlandse internet opereren buitenlandse spionagenetwerken die inlichtingen verzamelen. Zij concentreren zich vooral op de gebieden van economisch welzijn & wetenschappelijk potentieel en openbaar bestuur & vitale infrastructuur. Uiteraard is daarbij speciale belangstelling voor militaire aangelegenheden.
“Inlichtingenactiviteiten door buitenlandse inlichtingendiensten
zorgen niet alleen voor de aantasting van de soevereiniteit van
Nederland; ze veroorzaken ook grote economische schade.
Buitenlandse inlichtingendiensten verrichten in Nederland in
het geheim activiteiten om de geopolitieke en economische
positie van hun eigen land te versterken. Ze proberen gevoelige
en waardevolle informatie te vergaren om bijvoorbeeld vooraf
inzicht te verkrijgen in het standpunt van Nederland in
onderhandelingen met een ander land. Ook toekomstig beleid
van internationale samenwerkingsverbanden waar Nederland
deel van uitmaakt, zoals de Europese Unie, de Verenigde Naties
of de NAVO, heeft hun belangstelling” [AIVD, Jaarverslag 2012].
Vanwege zijn kennisintensieve en internationaal georiënteerde economie vormt Nederland een aantrekkelijk doelwit voor statelijke actoren. Omdat Nederland een knooppunt is in de internationale infrastructuur wordt digitale spionage niet alleen gebruikt tegen personen en instellingen in ons land, maar ook tegen personen en instanties in het buitenland.
De AIVD heeft bij diverse digitale aanvallen op Nederlandse doelen sterke aanwijzingen gevonden voor statelijke betrokkenheid en in sommige gevallen ook specifieke aanwijzingen over het land van herkomst. Voor 2012 werden in Nederland spionageaanvallen vastgesteld uit onder meer China, Rusland en Iran. Maar het aantal werkelijke digitale spionage-incidenten is vermoedelijke vele malen hoger.
GhostNet: van Daila Lama tot NAVO
In maart 2009 werd bekend dat een NAVO-basis in Nederland doelwit was geworden van een omvangrijk internetspionagenetwerk dat werd aangestuurd met computers die bijna allemaal te herleiden waren tot Chinees grondgebied [IWM 2009; Deibert 2013:21]. Via GhostNet werden 1.295 computers in 103 landen geïnfiltreerd. Tot de doelwitten behoorden ministeries, ambassades en het netwerk van de Dalai Lama. Het spionagenetwerk richtte zich vooral op Zuid- en Zuidoost-Azië, maar besmette ook een computer op het NAVO-hoofdkwartier in Brussel.
“Via gerichte e-mails met daaraan geïnfecteerde Word- en pdf-bestanden, infecteerden hackers computers van ambassades, ministeries en internationale instellingen. Van de geïnfecteerde computers werd informatie verzameld door
documenten te kopiëren en via webcams en microfoons gesprekken af te luisteren“ [AIVD 2010:38].
Na een onderzoek van tien maanden door de Information Warfare Monitor (IWM) werd het Trojaanse paard (Ghost RAT) ontdekt. IWM voerde dit onderzoek uit op verzoek van de het kantoor van de Dalai Lama. Het vermoeden was dat de computers van zijn Tibetaanse vluchtelingennetwerk was geïnfiltreerd. Na installatie van de malware konden de hackers de controle over de gecompromitteerde computers overnemen en geclassificeerde gegeven versturen en ontvangen. Het Trojaanse paard gaf de aanvallers ook de mogelijkheid om elke toetsaanslag van de geïnfecteerde computers vast te leggen en alle wachtwoorden en geëncrypteerde communicaties op te vangen. Bovendien konden zij vanaf afstand de audio en video functies van deze computers aanzetten [BBC News, 29.3.09; The Guardian, 30.3.09: The Times, 30.3.09; New York Times, 28.3.09; Nagaraja/Anderson 2009; NOS, 29.3.09; Wikipedia: GhostNet].
Later bleek dat degenen die voor het GhostNet spionagenetwerk zeer waarschijnlijk ook verantwoordelijk waren voor de hack van het beveiligingsbedrijf RSA [Security.nl, 3.3.12].
Tegenwoordig kan iedereen die dat wil van het internet spionagesoftware downloaden die dezelfde afluistermogelijkheden biedt als de Ghost RAT. “Met vrij beschikbare en gemakkelijk te hanteren instrumenten als Ghost RAT zijn we het tijdperk van de doe-het-zelf cyberspionage binnen getreden” [Deibert 2013:25].
Grote cyberaanval verzwegen
|
De Citadel-malware is gebaseerd op een exemplaar dat op 6 september 2012 via de website van De Telegraaf werd verspreid, waardoor de pc’s van bezoekers van deze site werden aangevallen [NCSC, 7.9.12].
|
Medio februari 2013 werd bekend dat duizenden bedrijven en overheidsinstellingen in het najaar van 2012 slachtoffer waren van cybercriminelen. Daarbij zijn computerbestanden van ministeries, gemeenten, recherche, rechtbanken, waterschappen, energieproducenten, waterleidingsmaatschappijen, mediabedrijven, ziekenhuizen, universiteiten, luchtvaartmaatschappijen en andere bedrijven in handen gekomen van Oosteuropese criminelen. Zo’n 150.000 computers werden met het Citadel-virus besmet en in totaal 750 gigabite aan data werd gestolen [Surfright; NOS, 14.2.13; Webwereld, 14.2.12].
Alle vitale sectoren van de Nederlandse samenleving waren besmet met het virus (behalve de nucleaire energie).
Het meest verontrustend was dat het Nationaal Security Centrum (NCSC) al sinds september 2012 precies wist welke organisaties slachtoffer waren van het aan Citadel verbonden Pobelka-botnet, maar slechts 40 á 50 daarvan had gewaarschuwd.
Toen verslaggever Jeroen Wollaars lucht kreeg van het spionageverhaal ontdekte hij al snel dat ook de NOS zelf slachtoffer was van de cybercriminelen. Veertien computers van de NOS waren besmet en de wachtwoorden van 35 medewerkers waren gelekt.
Een woordvoerder van het ministerie van Veiligheid en Justititie beweerde met grote stelligheid dat er geen computers van de rijksoverheid waren besmet. In werkelijkheid waren er 57 computers van acht verschillende ministeries —waaronder die van Veiligheid & Justitie— door het virus getroffen. Nadat dit bekend werd, probeerde Minister Opstelten van Veiligheid en Justitie de burgers gerust te stellen: “Natuurlijk schrikken we daar van, maar we nemen ook de maatregelen die genomen moeten worden. Wij weten wat we dan moeten doen”. Hij vond het zelfs “plezierig” dat het NCSC zo “adequaat” had opgetreden [Vrij Nederland, 8.3.13]. Maar dat was nu precies wat het NCSC niét had gedaan: adequaat optreden. Ook bij de NCSC zelf drong dit besef langzamerhand door. Een paar dagen later kondige het NCSC aan dat zij samen met de opsporings- en inlichtingenorganisaties (HCTU, AIVD en MIVD) een onderzoek zou instellen naar deze spionagecampagne.
Met de informatie die gestolen werd van bijna alle Nederlandse bedrijven zouden alle vitale infrastructuren op eenvoudige wijze kunnen worden gecyboteerd en zou het maatschappelijk verkeer bijna volledig kunnen worden stilgelegd.
|
TeamViewer - TeamSpy
Een van de meest populaire programma's om op afstand op computers in te loggen is TeamViewer. Dit programma brengt binnen enkele seconden over de hele wereld een verbinding tot stand met elke pc of server. Meer dan 100 miljoen gebruikers vertrouwen op TeamViewer. Het wordt vooral gebruikt door systeembeheerders die op afstand de controle over computers van cliënten kunnen overnemen om problemen op te lossen.
In 2013 bleek dat TeamViewer al tien jaar lang misbruikt wordt om bedrijven, overheidsinstellingen en activisten te bespioneren [CrySyS,20.3.13]. Dit gebeurt met de malware toolkit TeamSpy. De cyberaanvallers kunnen via TeamViewer in real time meekijken wat er op de geïcteerde computer gebeurt. TeamViewer werd gebruikt om bestanden te stelen en om andere kwaadaardige software te installeren [Security.nl, 21.3.13].
|
In haar jaarverslag over 2012 constateerde de AIVD dat er steeds vaker cyberaanvallen worden uitgevoerd die een dreiging voor de nationale veiligheid vormen.
“De bedreigingen voor de nationale veiligheid hebben steeds
vaker een digitale component. Internettechnologie wordt op
diverse manieren gebruikt om de nationale veiligheid te
ondermijnen. Kwetsbaarheden in computersystemen worden
uitgebuit. Digitale aanvallen nemen in aantal, complexiteit en
impact toe.”
Door de technologische ontwikkelingen veranderen die dreigingen razendsnel en zijn daarom ook steeds lastiger voorspelbaar. Voorlopig manifesteert de dreiging zich vooral in cyberspionage door andere landen, zoals China, Rusland en Iran. Deze cyberaanvallen worden steeds complexer en ingenieuzer. De cyberspionnen zijn vooral geïnteresseerd in de Nederlandse kenniseconomie.
De conclusie van de AIVD is klip en klaar en goed onderbouwd: “Het versterken van de digitale veiligheid in ons land is een van de grootste uitdagingen waar overheid en bedrijfsleven op dit moment voor staan. Cybersecurity, digitale veiligheid, is essentieel om de Nederlandse samenleving en economie draaiend te kunnen houden” [Jaarverslag 2012].
Toekomst van cyberspionage
In de loop der jaren heeft zich een kruisbestuiving voltrokken tussen cyberspionnen en cybercriminelen. Speervissen is een favoriete tactiek van oplichters die toegang zoeken tot een bankrekening van een organisatie. Cyberspionnen gebruiken het wanneer hun doelwit in staat is om zich succesvol te verdedigen tegen verleidelijke bijlagen in e-mails, sms-jes of tweeds
[Stewart 2012].
Cyberspionage door inlichtingen- en veiligheidsdiensten is slechts het begin. Overheden raken steeds meer betrokken in cyberspionage. In opdracht van overheden wordt cyberspionage soms uitgevoerd door particuliere beveiligingsbedrijven. Offensief hacken wordt uitbesteed aan aannemers die met speervissen achterdeurtjes openbreken om bedrijven en instellingen te bespioneren.
Elektronische spionage verschilt in een opzicht nogal sterk van de spionage uit het pre-internet tijdperk. Spionage is niet meer het passief afluisteren van een conversatie of het monitoren van een communicatiekanaal. Cyberspionage betekent dat er actief wordt ingebroken op een computernetwerk van een tegenstander en het installeren van kwaadaardige software die ontworpen is om de controle over dat netwerk over te nemen. “Cyberspionage is een vorm van cyberaanval. Het is een offensieve actie. Het schendt de soevereiniteit van een ander land” [Schneier, 6.3.14]. In cyberspace is de scheidslijn tussen spionage en geheime militaire operaties zeer vaag [Mueller 2012:8]. Er zou in ieder geval een duidelijk grens getrokken moeten worden tussen cyberoperaties die alleen maar clandestien informatie opvangen zonder het functioneren van computers en netwerken te verstoren, en operaties die het gepenetreerde netwerk zodanig veranderen dat zij hun functionaliteit veranderen of blokkeren [Hathaway e.a. 2012; Lin 2012].
| Begrippen
| Cyberaanval |
Cyberexploitatie |
| Benadering & intentie |
Degraderen, ontregelen en vernietigen van aangevallen infrastructuur en systemen/netwerken |
Kleinste interventie om gewenste informatie clandestien te verwerven |
| Definitie |
Opzettelijke acties en operaties gericht op het veranderen, ontregelen, misleiden, degraderen of vernietigen van computersystemen of netwerken van de tegenstander of van programma’s en informatie die zich daarop bevinden of via deze systemen or netwerken worden getransporteerd |
Opzettelijke acties en operaties gericht op het verkrijgen van informatie die anders vertrouwelijk zou worden gehouden en die zich bevindt op of getransporteerd wordt via computersystemen of netwerken van de tegenstander. |
| Neven-effecten |
Een cyberaanval probeert de computersystemen en netwerken van de tegenstander onbruikbaar of onbetrouwbaar te maken. Dit kan indirecte gevolgen hebben voor andere systemen die daaraan gekoppeld zijn of die daarvan afhankelijk zijn. |
Cyberexploitaties zijn meestal clandestien en worden uitgevoerd met de kleinst mogelijke interventie die het toch nog mogelijk maakt om de gewenste informatie te verkrijgen. Cyberexploitaties zijn er niet op gericht om het normale functioneren van een computersysteem of netwerk te verstoren. De beste cyberexploitatie is er een die door een gebruiker nooit wordt opgemerkt. |
Cyberspionage wordt steeds subtieler en duurzamer. De ‘Turla’-hackers zijn hiervan een duidelijk voorbeeld. Zij infiltreerden jarenlang in de communicatie- en internetsystemen van ministeries, ambassades, handelsmissies, militaire producenten en farmaceutische bedrijven van een groot aantal landen [The Guardian, 7.8.14]. De technische vaardigheden van deze hackers zijn imposant. Zij maken gebruik van kwetsbaarheden in de software die nog niet bekend waren (zero-day vulnerabilities). Het zijn softwarelekken die alleen maar ontdekt kunnen worden wanneer zeer competente hackers er heel veel moeite voor doen om ze te ontdekken. De malware die de Turla-hackers gebruiken is bijzonder zeldzaam en complex en stelt hen in staat om netwerken te bespioneren zonder zelf ontdekt te worden. Of de aanvallers Russisch zijn of alleen maar gebruik maken van Russische identiteiten is nog onbekend [Reuters, 7.8.14].
|
Bedrijfsspionage |
|---|
Bedrijfsspionage gebeurt zowel om politiek-strategische redenen als om commerciële redenen. In het eerste geval worden bedrijven die in het ene land gevestigd zijn bespioneerd door overheidsinstellingen van andere landen. In het tweede geval bespioneren nationaal of internationaal concurrerende ondernemingen elkaar om bedrijfsgeheimen (offertes, recepten, patenten, productinnovaties of productiemethoden) van elkaar te stelen, om aanbestedingstrajecten te ondermijnen, en om onderhandelingen, fusies en overnames te manipuleren.
Het is moelijk om de schade die door bedrijfsspionage wordt veroorzaakt enigszins nauwkeurig te schatten. De meestal zeer voorzichtige AIVD suggereerde in haar jaarverslag 2013 “dat de wereldwijde schade honderden miljarden euro’s bedraagt als gevolg van inkomstenderving, verlies aan concurrentiepositie en banen, en door de kosten voor beveiligings- en herstelmaatregelen.” Zolang dit soort suggesties niet worden onderbouwd, blijft het gissen. De data die voor dergelijke schattingen worden gebruikt zijn gebrekkig, al is het alleen maar doordat er lang niet altijd melding wordt gemaakt van digitale inbraken [in → Lastige calculaties wordt dit nader uitgewerkt].
Commerciële bedrijfsspionage
Commercieel geïnspireerde bedrijfsspionage wordt ingezet om concurrenten dwars te zitten. Het is de voortzetting van ondernemerschap met illegale resp. criminele middelen.
Bedrijfsspionage is de duistere onderbuik van de globale economie. Er wordt gebruik gemaakt van zeer geavanceerde technologie en van eeuwenoude technieken van misleiding en manipulatie. “Zelfs al blijft het grotendeels een verborgen industrie, het particuliere spionagebedrijf is een integraal onderdeel geworden van de manier waarop ondernemingen hun zaken in de wereld doen” [Javers 2010:xxi]. Volgens een studie van Campus Wien heeft meer dan een derde van de ondernemingen te maken hadden met bedrijfsspionage [Shea 2010]. In 29% van deze gevallen ging het om spionage van een binnenlandse concurrent [Gaycken 2012:110]. Volgens Dave Merkel van het beveiligingsbedrijf FireEye in zelfs 97 procent van de bedrijven geïnfilteerd door cybercriminelen.
Het door de NCSC gepubliceerde Cybersecuritybeeld [juni 2012] laat zien dat ook in Nederland het aantal incidenten met spionage bij overheid en bedrijven toeneemt. In een brief van minister Opstelten wordt in maart 2013 zelfs geconstateerd dat de ontwikkelingen op het gebied van cyberspace zo snel gaan en feitelijke informatie over omvang, daders en dadergroepen ontbreekt, dat cyberspionage de komende jaren een witte vlek zal zijn.
Soms zijn het ontevreden of gefrustreerde werknemers van de doelonderneming die de gevoelige informatie stelen en verkopen. Maar zeer vaak geven bedrijven ook hun eigen informatici opdracht om concurrent te bespioneren, of huren ze hierin gespecialiseerde detectivebureaus in. Soms wordt er gespioneerd door particuliere ondernemingen die uit andere markten komen en die door hun nationale inlichtingen- en veiligheidsdiensten worden ondersteund. In dit geval spelen politiek-strategische belangen een belangrijke rol en neemt bedrijfsspionage de vorm aan van een «koude cyberoorlog».
|
Vals spel
Ondernemingen kunnen ook meer drastische maatregelen nemen om hun concurrenten of publieke tegenstanders aan te vallen. Een voorbeeld daarvan is de Nederlandse internetprovider Cyberbunker tegen de spambestrijder Spamhaus. Deze in Zwitserland (Geneve) en Engeland (Londen) gevestigde Europese vrijwilligersorganisatie had Cyberbunker op de zwarte lijst gezet. Op deze lijst staan de internetadressen van spammers en van criminelen die met lokmails proberen om mensen geld af te troggelen of hun computers met kwaadaardige software te besmetten. Spamhaus beschermt internetters door deze adressen door te spelen naar netwerkbeheerders, die vervolgens alle e-mails afkomstig van die adressen automatisch blokkeren.
Dat was niet naar de zin van de Zeeuwse provider die zijn bullet proof servers aan iedereen verhuurt die er belang bij heeft anoniem te blijven. Zijn clièntele heeft er groot belang bij dat hun actieradius op het internet niet wordt beperkt door detectiesystemen die spam, fraude en malware buiten de deur houden. In maart 2013 sloeg Cyberbunker —waarschijnlijk in samenwerking met klanten uit Rusland en China— terug met felle en massieve DDoS-aanvallen op Spamhaus. Om de effectiviteit van de DDoS-aanval te versterken richtten de cyberaanvallers hun pijlen op het Domain Name System (DNS).
Door deze DNS-amplificatie aanval werden vanuit servers over de hele wereld omvangrijke datapakketten naar het slachtoffer verstuurd (met een vuurkracht van 300 miljard bites per seconde). De aanvallen waren zo groot dat ze voor het gehele internet ontwrichtend waren. Miljoenen internetgebruikers merkten dat het internet langzamer werkte en dat sommige diensten (zoals de Amerikaanse tv-aanbieder Netflix) tijdelijk helemaal niet bereikbaar waren. Ook het Nederlandse Surfnet, dat onderdak biedt aan enkele servers van Spamhaus, werd getroffen. De aanvallen waren moeilijk te blokkeren, om dat die DNS-servers niet afgesloten kunnen worden zonder het internet te blokkeren
[Cloudflare, 20.3.13; Ars Technica, 31.3.13; Automatiseringsgids, 27.3.13].
Kern van probleem is dat veel grote internetproviders hun netwerken niet zo hebben opgezet dat zij er zeker van zijn dat het verkeer dat hun netwerken verlaat daadwerkelijk van hun eigen gebruikers komt. Dit beveiligingslek is al langer bekend, maar het is pas recent geëxploiteerd op een wijze die de infrastructuur van het internet bedreigt.
De eigenaar en woordvoerder van Cyberbunker, Sven Olof Kamphuis, verklaarde trots dat dit de grootste DDoS-aanval was die de wereld tot nu toe gezien heeft [NYT, 26.3.13]. Een dag later kwam Kamphuis —die ook opereert onder de naam cb3rob— tot andere gedachten: hij ontkende elke betrokkenheid van Cyberbunker bij deze grootste cyberaanval ooit [BNR, 27.3.13]. Volgens Spamhaus is de aanval door Cyberbunker georganiseerd in samenwerking met criminele bendes uit Oost-Europa en Rusland.
Op haar website pocht Cyberbunker dat het al eerder doelwit van justitie is geweest. “De Nederlandse autoriteiten en de politie hebben meerdere pogingen ondernomen om met geweld in de bunker te komen. Maar geen van deze pogingen waren succesvol”. Cyberbunker is gevestigd in de oude NAVO-bunker in Kloetinge (Zeeland). De nucleaire bunker werd vanaf 1955 gebruikt voor lokale spionage en contraspionage. Achter de vijf meter dikke betonnen muren bevind zich een complex van vier etages. In 1996 werd de bunker verkocht en werd in 1998 omgebouwd tot een veilige data haven met de naam Cyberbunker.
Volgens Arbord Networks, een bedrijf dat gespecialiseerd is in bescherming tegen DDoS-aanvallen is de aanval van Cyberbunker de grootste aanval die zij ooit gezien hebben. “De grootste DDos-aanval die we eerder gezien hebben was in 2010, met 100 Gbps (Gigabites per seconde). De sprong van 100 naar 300 is natuurlijk behoorlijk massief” [Dan Holden, BBC, 27.3.13].
Het Openbaar Ministerie (OM) startte een strafrechtelijk onderzoek naar de massale aanvallen die vanuit de Nederlandse Cyberbunker zouden worden uitgevoerd [ISPam, 27.3.13]. Het onderzoek wordt uitgevoerd door Team High Tech Crime (THTC) van de landelijke politie. In Engeland werden vijf nationale afdelingen van de cyberpolitie ingeschakeld om de aanvallen te onderzoeken [BBC, 27.3.13].
Dreiging met ‘grootste aanval ooit’
Sven Olof Kamphuis
|
|---|
Tegen Sven Kamphuis werd een Europees aanhoudingsbevel uitgegeven. Op 25 april werd hij in Spanje gearresteerd [OM, 26.4.13]. Hij opereerde daar vanuit een bunker en vanuit een busje dat was uitgerust met verschillende antennes om frequenties te scannen. Met zijn mobiele computerkantoor kon hij inbreken in netwerken op allerlei locaties. Tegenover de Spaanse autoriteiten presenteerde Kamphuis zichzelf als ‘Minister van Telecommunicatie en Buitenlandse Zaken van de Republiek Cyberbunker’ [AP, 28.4.13]. Volgens het Openbaar Ministerie zijn er aanwijzingen dat Kamphuis niet alleen verantwoordelijk is voor de cyberaanvallen op Spamhaus, maar ook op de later ingezette aanvallen op diverse Nederlandse banken, iDeal, KLM en DigiD.
Na zijn arrestatie eiste de groep freecb3rob de vrijlating van Kamphuis. Zij dreigde ‘de grootste aanval ooit’ in te zetten tegen Nederland als hij niet zou worden vrijgelaten [Pastebin, 26.4.13]. De groep verklaarde dat zij al getest hadden hoe zwak de huidige veiligheid in Nederland is. Zij pochen dat zij erin zijn geslaagd om binnen enkele minuten banken, luchthavens en zelfd DigiD plat te leggen. “You have been warned”.
Een dag later publiceerde freecbrob een lijst met 10 primaire doelwitten die zij in Nederland wil aanvallen.
Tegenmaatregelen
De DDoS-aanvallen die tussen 23 april en 11 mei op informatiesystemen van de overheid werden uitgevoerd stimuleerde de Nederlandse regering om meer geld te investeren in het tegengaan van DDoS-aanvallen op vitale netwerken. Minister Opstelten van Veiligheid en Justitie verklaarde dat het van groot belang is om “de weerbaarheid tegen het het herstelvermogen na geslaagde DDoS-aanvallen te versterken” [MV&J, 14.5.13]. Het ministerie constateert nuchter dat DDoS-aanvallen een wereldwijd probleem vormen en dat iedereen die diensten aanbiedt op het internhet hiervan slachtoffer kan worden. Ook de nationale overheid staat dagelijks bloot aan grotere of kleinere cyberaanvallen die de bereikbaarheid van informatie en diensten blokkeert.
“Dergelijke storingen door digitale verkeersopstoppingen zijn nu en in de toekomst niet te vermijden. Het is echter wel mogelijk en van groot belang om maatregelen te treffen om de impact te beperken. Op dit vlak is het nodig de weerbaarheid tegen DDoS-aanvallen te verhogen. Het belang hiervan is des te groter waar het vitale sectoren, instellingen of voorzieningen betreft die een essentiële rol in de samenleving
vervullen.”
Er wordt vooral geïnvesteerd in het plaatsen van extra servercapaciteit en het versterken van de alertheid op nieuwe cyberaanvallen. Het vergroten van de capaciteit van de diensten is een eerste logische stap op DDoS-aanvallen minder effectief te maken. Bovendien worden er selectiemechanismen (filters) in de servers worden ingebouwd waardoor het verkeer vanuit een DDoS-aanval gescheiden kan worden van regulier verkeer. In noodgevallen zal bijvoorbeeld DigiD voor gebruikers in het buitenland tijdelijk worden afgesloten. Als ook dat onvoldoende is zal de dienst preventief uit de lucht worden gehaald.
Om de veiligheid van vitale voorzieningen in de dienstverlening te waarborgen, moet er ook geïnvesteerd worden in de beveiliging van ICT en alternatieve kanalen en infrastructuren voor de dienstverlening. De verantwoordelijkheid voor het verbeteren van die infrastructuur ligt echter bij die particuliere dienstverleners zelf. De verantwoordelijkheid van het Ministerie wordt geconcretiseerd in het aanstellen van een officier die een schakel vormt tussen het Nationaal Cyber Security Centrum (NCSC) en de Nederlandse banken.
Om de cyberveiligheid van Nederland te versterken werd het Nationaal Detectie en Response Netwerk versneld opgebouwd. Een van de prioriteiten is een effectieve aanpak van de botnet warmee DDoS-aanvallen worden uitgevoerd.
Anti-DDoS Wasstraat
Bij DDoS-aanvallen zijn internet aanbieders veelal direct of indirect het doelwit. De apparatuur of abonnementen die nodig zijn om dergelijke aanvallen tegen te gaan zijn zeer kostbaar voor middelgrote en kleinere ISP’s en hostingproviders. Hun klanten zijn niet per se bereid om (mee) te betalen voor een anti-DDoS voorziening. Daaruit werd het idee geboren om een nationale anti-DDoS voorziening te ontwikkelen.
Het Project Nationale anti-DDoS Wasstraat (NaWas] is een privaat initiatief van een aantal providers die verenigd zijn in de Nationale Beheersorganisatie Internet Providers (NBIP) om een gezamenlijke voorziening in te richten om een overvloed aan verkeer te schonen. De anti-DDoS dienst werd op 28 maart 2014 geopend. NaWas biedt op aanvraag beveiliging tegen DDoS-aanvallen voor middelgrote en kleinere ISP’s. Als een netwerk van een provider onder een DD0S-aanval ligt, wordt het verkeer omgeleid naar een centraal opgestelde hoeveelheid anti-DDoS apparatuur. De NaWas reinigt het verkeer van ‘onzin’ en stuurt het schone verkeer over een apart VLAN van de NL-IX of AMS-IX naar de deelnemende provider terug.
Supermachine van Huawei
Huawei’s paradepaardje is een slimme krachtpatser die in staat is om zelf een DDoS-aanval te detecteren en binnen enkele seconden te bepalen op welke manier hij deze het beste kan aanpakken. De machine moet zo zijn afgesteld dat hij het verschil ziet tussen het reguliere internetverkeer en dat van de DDoS-lastpakken. Het normale dataverkeer van klanten moet uiteraard niet worden tegenhouden [Emerce, 31.10.13].
|
Bedrijfsleiders van de meerderheid van de grote ondernemingen die een functie vervullen in de kritische infrastructuren denken dat zij worden aangevallen of bespioneerd door politiek gemotiveerde aanvallers [Symantic, CIP survey]. Bij bedrijfsspionage die door overheden wordt georganiseerd, spelen strategische belangen een cruciale rol en kunnen zeer omvangrijke aanvalsbronnen worden gemobiliseerd en ingezet. Het is het altijd lastig en meestal onmogelijk om te achterhalen wélke overheid verantwoordelijk is voor welke vorm van cyberspionage. Daarom is het in de regel onmogelijk om informatiediefstal toe te schrijven aan een bepaalde nationale staat.
Dat is het probleem met de beruchte cyberspionage uit China.
Voor bedrijfsspionnen is het makkelijk om een server in een ander land te huren of om daarin ongemerkt in te breken om deze als tussenschakel (proxy) te gebruiken. Chinese computers zijn vaak slecht beveiligd omdat er vaak gewerkt wordt met gekraakte kopieën van reguliere software (zoals Windows) waarbij alle updatefuncties zijn uitgeschakeld omdat anders illegaal gebruik kan worden vastgesteld. Zonder deze updates vertoont de software allerlei beveiliginglekken die gemakkelijk benut kunnen worden. De Chinese overheid ontkent —zoals gebruikelijk— elke verantwoordelijkheid voor de cyberspionage op militaire en commerciële netwerken in de VS en in Europa. Haar stelling is dat een derde van alle cyberspionage uit de VS komt en niet uit China.
Cyberspionnen stelen geheimen en identiteiten, zij zijn behendig en wissen hun digitale sporen. |
|---|
Wie er schuil gaat achter transnationale spionage-incidenten kan bijna nooit eenduidig worden vastgesteld. Natuurlijk heeft China er belang bij om via bedrijfsspionage de opbouw van het eigen land zo snel mogelijk vooruit te drijven, maar dit geldt voor zeer veel landen. Om te overleven op de wereldwijde markten zijn onderzoek en productontwikkeling steeds belangrijker geworden. Onderzoek en ontwikkeling vereisen echter enorme bronnen: geschoold talent, dure apparatuur en dus zeer veel geld. Voor naties en bedrijfssectoren die een gebrek aan middelen hebben en toch op de wereldmarkt goed willen concurreren is bedrijfsspionage een realistische optie. Economische cyberspionage is daarvoor de meest haalbare, effectieve en goedkoopste variant om deze strategische doelen te realiseren.
De cyberwapenrace op het gebied van bedrijfsspionage is in de afgelopen jaren op stoom geraakt. In de hele wereld klinken de alarmbellen. In de hele wereld klinken alarmbellen. De grootste alarmbel werd geluid door Generaal Keith B. Alexander (hoofd van de NSA en van het U.S. Cyber Command). Hij typeert de diefstal van intellectueel eigendom in cyberspace als “de grootste overdracht van rijkdom in de geschiedenis”. Zijn schatting is dat alleen al de V.S. bedrijven en instellingen honderden miljarden dollars hebben verloren als gevolg van bedrijfsspionage [FP, 9.7.2012]. Cyberspionage is waarschijnlijk de meest rendabele operatie die men via internet kan uitvoeren.
Het aantal incidenten van bedrijfsspionage via internet is enorm. De meest geavanceerde voorbeelden van politiek-economisch gemotiveerde cyberspionage zijn Titan Rain, ShadyRat en Operation Aurora. Het zijn slechts drie voorbeelden van een Advanced Persistent Threat (APT).
- Titan Rain — Invasie van Chinese cyberspionnen?
Deze naam werd gegeven aan een serie gecoördineerde en duurzame aanvallen op Amerikaanse computersystemen van militaire en bewapeningsbedrijven: Lockheed Martin, Sandia National Laboratories, Redstone Arsenal en NASA. De cyberspionage begon in 2003 en duurde minstens drie jaar. Van de 79.000 pogingen waren er 1.300 succesvol.
De cyberspionnen gingen snel, efficiënt en doelgericht te werk. Ze slaagden erin om verborgen secties van harde schijven te bereiken, kopiëerden daarvan alle bestanden en verplaatsten deze zo snel mogelijk naar servers in Zuid-Korea, Hong Kong of Taiwan voordat ze naar China werden verstuurd. De aanvallen werden gelanceerd vanuit drie Chinese routers die fungeerden als het eerste verbindingspunt van een lokaal netwerk naar het internet.
De hackende spionnen verstonden de kunst van het ongezien ontsnappen. Zij veegden hun elektronische vingerafdrukken weg en lieten een bijna niet te vinden baken achter waarmee zij desgewenst weer in de computers konden inbreken. De hele aanval duurde tussen de 10 en 30 minuten. De meeste hackers die een overheidsnetwerk binnendringen worden opgewonden en maken fouten. “Maar dat gebeurde niet bij deze gasten. Zij sloegen nooit een verkeerde toets aan” [Time, 29.8.05].
|
Spionage Pearl Harbor?
De Amerikaanse autoriteiten beschouwden Titan Rain als een ‘spionnage Pearl Harbor’. “Een onbekende buitenlandse mogendheid, en we weten echt niet wie dat is, brak in het ministerie van Defensie, in het ministerie van Buitenlandse Zaken, het ministerie van Handel en waarschijnlijk in het ministerie van Energie, waarschijnlijk NASA. Zij braken in op alle hightech instellingen en alle militaire instellingen en downloaden terabites aan informatie. We verloren in 2007 dus waarschijnlijk overheidsinformatie ter waarde van het equivalent van een Library of Congress” [Jim Lewis, directeur van het Center for Strategic and International Studies].
|
De Amerikaanse autoriteiten hielden hun kaken op elkaar over Titan Rain en drongen erop aan dat alle details van de spionageaanval geheim moesten blijven. Zij beseften dat het hier om een serieuze vorm van cyberspionage ging en de FBI werd hard aan het werk gezet om de identiteit van de aanvallers te achterhalen. Maar ook de FBI was niet in staat om vast te stellen of de Chinese overheid achter de aanvallen zat of dat het een initiatief was vanuit de particuliere sector of van andere, mogelijk criminele actoren. De Chinese regering werkte niet mee aan het onderzoek naar Titan Rain. Zij verklaarde dat de beschuldigingen over cyberspionage totaal ongegrond en onverantwoordelijk waren en te onwaardig om te weerleggen.
Feit was dat onbevoegde buitenstanders in staat waren om zeer vitale informatie te vervreemden van organisaties, instellingen en bedrijven die meenden zeer goed beveiligd te zijn tegen inbraken op de eigen computersystemen en netwerken. Maar juist bij die zo schijnbaar goed beschermde systemen konden de hackers strategisch belangrijke informatie stelen, zoals de software die het Amerikaanse leger gebruikt voor vluchtplanning.
Spionagenetwerken opereren vaak op brede schaal, in meerdere bedrijfstakken en vaak ook in meerdere nationale staten. Zo’n brede inlichtingenoperatie op internet vergroot natuurlijk het risico dat de kwaadaardige spyware wordt gedetecteerd en op andere plekken onbruikbaar wordt. De meest recente spyware opereert veel kleinschaliger, specifieker en selecteert zorgvuldig uitgekozen doelwitten. Daardoor wordt ook de pakkans kleiner.
- ShadyRat — Extreem geavanceerde spyware
ShadyRat is een spionagenetwerk dat tussen 2006 en 2011 volkomen onopgemerkt meer dan 72 grote internationale ondernemingen bespioneerde. Dat waren de grote wapenproducenten, Google, Morgan Stanley, de beveiligingsgigant RSA, de Verenigde Naties en het Internationaal Olympisch Comité.
|
Goed gekozen
RSA is de beveiligingsafdeling van de hightech firma EMC. Het produceert beveiligde computernetwerken voor het Witte Huis, de CIA, de NSA, het Pentagon en het Department of Homeland Security (DHS), de grootste wapenproducenten en overheidsleveranciers (Lockheed Martin, Northrop Grumman en L-3 Communications) en de meerderheid van de Fortune 500 ondernemingen. De reputatie van de populaire beveiligingsdienst SecurID van RSA liep daarmee een gevoelige deuk op.
|
Veel computerdeskundigen en bloggers vonden bewijzen dat de aanvallen uit China waren gekomen. Zij beschuldigen China van het grootschalig stelen van intellectueel eigendom van Amerikaanse ondernemingen en van de overheid van de VS [Gross 2010; McAfee 2011; Gacken 2012:112].
Via de e-mail werd het virus verzonden dat deze operatie uitvoerde. Medewerkers van de doelorganisatie kregen een lokmail van een schijnbare collega met een vertrouwd thema als onderwerp (‘Recruitment Plan’). Zodra zij op dit bericht klikten, werd het aangehechte Excel bestand gedownload. De spyware die daarin verborgen was, stelde de hackers in staat om het geïnfecteerde computernetwerk te plunderen.
|
Zero-day lek
Een zero-day lek is een kwetsbaarheid in de softwarecode die onbekend is bij de ontwikkelaars van het programma en die nog niet gebruikt is in eerdere aanvallen. Zero-day lekken komen veel vaker voor dan gedacht en worden soms jarenlang actief misbruikt voordat ze officieel bekend worden. Pas daarna worden zij gebruikt voor massale aanvallen, totdat er een patch (een digitale pleister) wordt verspreid om het lek te dichten [Bilge/Dumitras 2012; Washiongton Post - Special report: Zero Day].
Als bij een cyberaanval daadwerkelijk gebruik gemaakt wordt van een gat in de beveiliging spreekt men van een zero-day exploit. Een «nuldagenaanval» start op of vóór de eerste dag waarop de ontwikkkelaar zich bewust is van het beveiligingslek.
|
De cyberspionnen gebruikten een zero-day lek in Adobe Flash Player (verpakt in een Excel-bestand) om een extreem gewone downloader te installeren: Poison Ivy. Dit programma downloadt stiekem malware op de geïnfecteerde systemen. Met behulp van deze malware konden de hackers het kroonjuweel van de RSA, de SecurID kraken. Jarenlang was deze beveiligingssleutel gebruikt door de meeste Amerikaanse inlichtingendiensten, militaire eenheden, wapenleveranciers, ambtenaren van het Witte Huis en Fortune 500 directeuren. Al deze instellingen waren door RSA voorzien van de tot dan toe beste vorm van beveiliging. In totaal circuleerden er 25 miljoen van deze beveiligingssleutels en 70 procent van de meest vitale instellingen waren met SecurID beveiligd.
De schrik was groot toen RSA in maart 2011 in een open brief aan haar klanten aankondigde dat het beveiligingssysteem van het bedrijf te maken had met “een extreem geavanceerde cyberaanval” die ertoe geleid had dat er informatie was gestolen van RSA-systemen.
Gezien de investeringen en de tijd die de aanval heeft gekost, meent RSA dat de aanval van een land afkomstig moet zijn. De president van RSA, Thomas Heiser, verklaarde: “Het was uitstekend gepland, met lange voorbereidingstijd en hoge kwaliteit. Ze wisten precies wat ze zochten en waar wat op het netwerk te vinden was.” Volgens Heiser kwam de aanval van een land, maar is niet meer te achterhalen welk land dat was [Webwereld, 12.10.11].
We hebben gezien dat virtuele aanvallen via servers over de hele wereld kunnen worden georkestreerd en dat het daarom bijna onmogelijk is om een inbraak met zekerheid aan iemand toe te kunnen schrijven. Alle nationale overheden hebben inlichtingendiensten die gebruik maken van programma’s om via het internet vitale instellingen van andere staten te bespioneren.
Bij cyberspionage weet niemand of een aanval is uitgevoerd op bevel van een vijandige staat, een rebellerende fractie in de eigen staat, een terroristische organisatie of een crimineel syndicaat. Soms voeren politieke en militaire autoriteiten de aanvallen zelf uit. Maar ze kunnen ook oogluikend toezien dat patriottische hackers hun aartsvijanden relatief ongestoord kunnen aanvallen, of ze kunnen dergelijke initiatieven steunen of zelf ensceneren. Al deze opties behoren tegenwoordig tot het standaardrepertoire van de cyberstrategen.
|
PoisonIvy te paard
In 2011 werd een spervuur van cyberaanvallen geopend op tenminste 50 chemiebedrijven. Daarbij werd ook de Franse nucleaire multinational Areva gehackt [Webwereld, 1.12.11]. De aanval was gericht op het verwerven van bedrijfsgeheimen zoals chemische formules, recepten en documenten over fabricagetechnieken [Symantec 2011].
Ook in deze gevallen drongen de cyberspionnen de computernetwerken binnen via een e-mail dat schijnbaar afkomstig was van de systeembeheerder, een bekende collega of leidinggevende, maar die met een Trojaans paard geladen was. Het als bijlage toegevoegde PoisonIvy zet op de pc een achterdeur open en legt contact met een command & control server. Met deze techniek werd de rest van het netwerk in kaart gebracht om zo bedrijfsgevoelige informatie te stelen. De aanval werd uitgevoerd door een virtuele private server (VPS) in de V.S. die door iemand uit China was gehuurd. Ook hier wezen de meeste vingers in de richting van China, maar ontkende de regering in Peking krachtig elke vorm betrokkenheid bij deze bedrijfsspionage.
De aanvallers hadden waarschijnlijk twee jaar lang toegang tot verschillende computers van het France nucleaire concern Areva. Areva is een van de grootste nucleaire ondernemingen ter wereld. Het exploiteert uraniummijnbouw, kerncentrales, opwerkfabrieken en verwerking van kernafval, maar is ook actief op het gebied van hernieuwbare energie.
Bij vergelijkbare spionageacties in Japan werden defensiegeheimen van Mitsubishi gestolen: ontwerpen van het nieuwste wapentuig, militaire vliegtuigen, onderzeeërs en kerncentrales. Op tien verschillende locaties van Mitshubishi werden maar liefst 45 servers en 38 pc’s gecompromitteerd. Voor deze grootschalige aanvallen werden minstens acht verschillende soorten malware gebruikt [E-week; BBC,20.9.11]. Ook netwerken van ministeries en het parlement, negen Japanse ambassades (waaronder die in Den Haag) werden gecompromitteerd [Webwereld, 26.10.11].
Ook hier wijzen de vingers naar China [AFP, 25 oktober 2011]. Niet alleen bedrijfsgeheimen, maar ook staatsgeheime informatie werd gestolen. Hoewel Mitshubishi beweerde dat er geen vertrouwelijke of gevoelige informatie was weggelekt stelde het Japanse ministerie van Defensie toch een diepgravend onderzoek in [Volkskrant, 20.9.11].
|
- Operation Aurora — Google als invalsweg
Cyberspionage is het met digitale middelen op malafide wijze verzamelen van vertrouwelijke of anderszins gevoelige informatie. De mogelijkheden van illegale verwerving van geheime of vertrouwelijke informatie zijn enorm toegenomen.
Het besef van het gevaar van cyberspionage begon pas goed door te dringen toen Google op 12 januari 2010 begon te praten over Operation Aurora. Aurora werd ontdekt door het cyberbeveiligingsbedrijf McAfee.
In eerste instantie leken de aanvallen op Google [2009-2010] alleen gericht op het opsporen en aftappen van mensenrechten activisten en politieke dissidenten in China. Hun Gmail-accounts werden gehackt en de daaruit resulterende informatie werd gebruikt om dissidenten aan te klagen en te veroordelen.
Bij nader inzien bleken de aanvallen op Google echter onderdeel te zijn van een goed georkestreerd en omvattend gecoördineerd spionageprogramma. De veiligheidslekken in e-mail bijlagen van Gmail werden geëxploiteerd om heimelijk toegang te krijgen tot netwerken van belangrijke financiële, militaire en technologische bedrijven en onderzoeksinstellingen in de Verenigde Staten [Washington Post, 14.01.10]. Daarbij behoorden interessante doelwitten als Adobe, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman, Google, Morgan Stanley en Dow Chemical.
De aanvallers maakten gebruik van een oude en inmiddels bekende krijgslist. De doelwitten ontvingen een lokmail van die afkomstig leek te zijn van iemand die zij goed kenden en waarvan zij geen kwaadaardige virussen of wormen verwachten. Het slachtoffer opent de bijlage bij de e-mail die een kwaadaardig programma bevat dat zich in zijn computer nestelt. Vanaf afstand krijgt de aanvaller toegang tot de e-mail van het slachtoffer, kan vertrouwelijke documenten naar een specifiek adres versturen of de webcam of microfoon aanzetten om vast te leggen wat er in de kamer van de gebruiker gebeurt. Die gebruiker heeft geen flauw benul dat hij het doelwit is van een spionage activiteit, van een cyberexploitatie.
|
|---|
Na het vertrek van Google uit China legden sympathisanten bloemen neer en brandden kaarsjes op het Chinese hoofdkwartier van het bedrijf. Google verdiende in 2009 naar schatting 300 tot 400 miljoen dollar aan Chinese internetgebruikers.
[foto: Vincent Thian]
|
Deze cyberexploitaties waren complex van opzet, zeer doelgericht en werden goed gecoördineerd, Er werden tegelijkertijd meerdere fouten in verschillende software programma’s geëxploiteerd, en er werden meerdere aanvalstypen ingezet op meerdere doelwitten. De meeste deskundigen beschouwden Operation Aurora als zo geavanceerd dat er wel een staat achter moest zitten. Specialisten op het gebied van computerbeveiliging kijken naar overeenkomsten tussen de malware die gebruikt wordt bij de inbraak en codes die op Chinese hackersfora circuleren. Onderzoek wees uit dat de aanvallen gelanceerd waren vanaf de computers in Lanxiang, een vakschool in de provincie Shandong, en de Jiaotong Universiteit in Shanghai. Maar er kon niet worden aangetoond dat deze activiteiten door de Chinese overheid of door het leger werden gesponsord.
Ook in dit geval ontkenden de Chinese autoriteiten in alle toonaarden dat zij iets met deze cyberoperaties te maken hadden: “Wij ondersteunen geen hackers en onze cyberoorlogsstrategie is zuiver defensief”. De woordvoerder van het ministerie van Buitenlandse Zaken stapte in de slachtofferrol en benadrukte dat ook Chinese netwerken door hackers werden aangevallen [ChinaDaily, 3.6.11].
Het is weliswaar makkelijk om het IP-adres van de hackers te lokaliseren, maar het is veel lastiger om te bepalen waar de hackers daadwerkelijk vandaan komen. Met ongefundeerde verwijten dat Chinese hackers achter de cyberaanvallen zitten, worden volgens de Chinese overheid alleen maar obstakels opgeworpen voor het versterken van
vertrouwen tussen ‘stakeholders in cyberspace’ en wordt de samenwerking tussen overheden gefrustreerd [ChinaDaily, 4.6.11].
De voordelen van economische gemotiveerde cyberspionage liggen voor de hand: men kan besparen op zeer omvangrijke investeringen onderzoek en productontwikkeling en men wordt sneller rijp voor de wereldmarkt. Landen met een relatief lage graad van informatisering hebben hierbij veel te winnen, terwijl de hightech landen veel te verliezen hebben [Gacken 2012:112]. In hoeverre nationale staten (regeringen, ministeries, hooggeplaatste politici en ambtenaren) betrokken zijn bij bedrijfsspionage in cyberspace blijft in bijna alle gevallen in het duister.
Cyberspionnen vinden telkens nieuwe aanvalsmethoden uit via verschillende platforms en technieken en zij zijn steeds beter in staat om hun interventies te verbergen. De geïnjecteerde malware misleid de detectiesystemen die de veiligheid van computersystemen moet bewaken. Als de aangevallen computers eenmaal zijn besmet, wordt er een achterdeur open gezet waardoor zij contact zoeken met een website op een command & control server. Daar krijgen de besmette machines gecodeerde opdrachten van de aanvallers. Door gebruik te maken van bepaalde communicatietechnieken —zoals de micro-bloggingdienst Plurk of Twitter— zorgt de malware ervoor dat het lijkt alsof de besmette machines een veel gebruikte en betrouwbare website bezoeken. In het netwerkverkeer ziet de kwaadaardige software er onschuldig uit: zij gedraagt zich netjes en lijkt alleen vriendelijke sites te bezoeken [Stewart 2012].
In een nieuwe variant van Zeusbot/SpyEye wordt helemaal geen gebruik meer gemaakt van een command-and-control server, waardoor de botnet nog moeilijker is te bestrijden. De Zeusbot/Spyeye variant maakt gebruik van de architectuur van een peer-to-peer netwerk (P2P). Het P2P-netwerk stelt de botnet in staat om actief te blijven en informatie te verzamelen zelfs als delen van het netwerk afgesloten zijn [Lelli 2012].
|
Verzwegen hack: Coca-Cola
De bedrijfsspionage bij Coca Cola was niet bijzonder door de manier waarop de hack werd uitgevoerd, maar door het feit dat deze zolang werd stilgehouden, uit angst dat ontdekking grote schade zou kunnen toebrengen aan de reputatie en beurskoers van het bedrijf.
In februari 2009 werd Coca-Cola gehackt door een lokmail te sturen naar vice-president Paul Etchells. De e-mail leek van de CEO te komen en had als onderwerp ‘Save power is save money’. In een periode dat Coca-Cola veel met energiebesparing bezig was, leek dit een belangwekkend bericht. De link in de lokmail schakelde door naar een malafide website. Etchells klikte op de link waardoor zijn computer met spyware werd besmet: er werd een keylogger op zijn machine geïnstalleerd. De aanvallers konden de e-mails lezen die tussen leidinggevenden werden uitgewisseld en kregen door het stelen van wachtwoorden toegang tot geheime documenten op het bedrijfsnetwerk. Meer dan een maand lang werd het computernetwerk van Coca Cola geïnfiltreerd zonder dat iemand iets in de gaten had. In deze periode werden grote hoeveelheden commercieel gevoelige informatie gestolen.
Alle belangrijke gegevens over een geplande overname van het Chinese bedrijf Huiyuan Juice Group werden gestolen. Dit zou de grootste overname ooit van een Chinees bedrijf zijn, ter waarde van $2,4 miljard. Drie dagen na de ontdekking van de hack werd de bedrijfsovername afgeblazen. Pas drie jaar later werd dit incident bekend. Het vermoeden is dat deze operatie door de Chinese overheid was uitgevoerd, maar daarvan is geen enkele bewijs [Bloomberg, 5.11.12].
Het feit dat Coca Cola besloot geen ruchtbaarheid te geven aan deze hack onderstreept nog eens de weerzin die ondernemingen hebben om hun beveiligingsfouten toe te geven. Ondanks het feit dat de Amerikaanse SEC (Securities and Exchange Commission) in haar richtlijnen aangeeft dat het in het belang van de bedrijven is om dit wel te doen.
Veel andere incidenten van bedrijfsspionage worden ook verzwegen. De cyberinbraak op het Britse energiebedrijf BG Group Plc in 2011 werd nooit publiek gemaakt. Daar werd informatie gestolen over geografische kaarten en gegevens over gasboringen. Naar schatting heeft dit bedrijf een verlies geleden van $1,2 miljard, als gevolg van nadelen bij contractuele onderhandelingen.
Hetzelfde gebeurde bij Chesapeake Energy, de op een na grootste gasproducent in de VS Bij de in Luxemburg gevestigde staalproducent ArcelorMittal werd ingebroken bij Sudhir Maheshwari, die verantwoordelijk is voor de fusies en overnames van de grootste staalbedrijven in de wereld.
|
Wie steelt wat en waarom?
Bij elk incident van bedrijfsspionage is de vraag: wie steelt, wat en waarom? Wie zijn de werkelijke bedenkers en uitvoerders van een cyberspionage campagne? Is het een particuliere onderneming die een binnen- of buitenlandse concurrent wil beroven van haar intellectueel eigendom om daarmee marktvoordelen te behalen? Of zijn daar op een of andere manier ook buitenlandse staten bij betrokken die de gestolen kennis, recepten, patenten en fabricageprocedures doorsluizen aan de eigen, binnenlandse ondernemingen?
De dader ligt meestal op het virtuele kerkhof. Zelden wordt duidelijk wie er precies hebben aangevallen, uit welk land zij komen, of in welke mate daar overheden bij betrokken zijn. De enige vuistregel die hierbij gehanteerd kan worden is dat criminelen meestal werken met de kleinst mogelijke inspanningen; meer ingewikkelde, meerzijdige en tijd- en geldkostende aanvallen kunnen een indicatie zijn dat er een staat of overheidsinstelling bij de aanval betrokken is.
Een vergelijkbaar probleem doet zich voor bij de vraag wát er wordt gestolen. Bij bedrijfsspionage is het vaak lastig om vast te stellen welke informatie er precies is gestolen. De informatie wordt immers niet zomaar gestolen (er verdwijnen geen documenten), maar gekopieerd en/of gedownload. De informatie is op de plek van oorsprong niet verdwenen. Zelfs al heeft men een duidelijk idee naar welke gevoelige informatie de crackers op zoek waren, dan weet men na een geslaagde aanval niet precies welke onderdelen daarvan daadwerkelijk vervreemd zijn.
Zolang het onduidelijk of niet zeker is wie er achter een ontdekt geval van bedrijfsspionage schuil gaan en welke informatie is gestolen, blijft het speculeren over wat het doel van de aanval was. Waarom werd er zoveel energie besteed aan het binnendringen van het netwerk van die specifieke onderneming?
Meestal is het echter niet moeilijk om te raden waar cyberspionnen op uit zijn. Vaak zijn dat de bedrijfsgeheimen die een onderneming in staat stellen om succesvol op de wereldmarkt te opereren (gepatenteerde producten, fabricageprocedures, productontwerpen, recepten e.d.). Soms gaat het om specifiek conjuncturele informatie zoals offertes voor zeer grote orders. Heel vaak gaat het om het verwerven van illegale toegang tot de financiële bronnen van een onderneming. In de meest kritieke gevallen gaat het om bedrijfsgeheimen die een grote politiek-strategische waarde hebben, zoals bouwtekenen en constructieplannen voor onderzeeërs, jachtvliegtuigen, raketsystemen en kerncentrales. In de organisatie van bedrijfsspionage op deze gebieden spelen nationale overheden of afzonderlijke overheidsinstellingen bijna altijd een —goed verborgen en altijd publiekelijk ontkende— rol.
Spioneren in de wolken
Het midden- en kleinbedrijf is minder goed beveiligd dan grote ondernemingen. Kleinere bedrijven hebben te weinig middelen om een degelijke bescherming van computers en bedrijfsnetwerken op te bouwen. Juist daarom zijn kleine en middenbedrijven die zich bezighouden met onderzoek en ontwikkeling uitgelezen doelen voor cyberspionnen. Zij zijn een gemakkelijke prooi waarbij tegen geringe kosten vaak genoeg interessante en bruikbare informatie gestolen kan worden.
Cybercriminelen zijn vooral op zoek naar klantgegevens, intellectueel eigendom en bankgegevens. Kleine en middenbedrijven gebruiken vaak dezelfde computersystemen en bedrijfsnetwerken en dezelfde beveiligingssystemen. Als de zwakheden en achterdeurtjes eenmaal zijn gevonden kan een spionageaanval op veel andere plaatsen worden herhaald.
Duitse studies hebben laten zien dat meer dan 3/4 van alle cyberspionnen juist dergelijke kleine en middenondernemingen in het vizier hebben en dat de aanvallen ook met vermeende statelijke achtergrond worden opgezet [Gaycken 2012:114]. Zeer vaak worden spionagenetwerken ontdekt die in meerdere bedrijfssectoren en staten op gelijksoortige wijze opereren. Zoals we eerder gezien hebben vergroot dat weer het risico van ontdekking en daarmee de inefficiëntie van hetzelfde aanvalsscenario op andere plekken.
We zijn in de wolken.
|
|---|
Een van de mogelijkheden die vooral voor het midden- en kleinbedrijf attractief lijkt is cloud computing. Cloud computing is een nieuwe vorm van uitbesteding van IT. De opslag van gegevens, het gebruik van programma’s, de reken- en netwerkcapaciteiten worden gehuurd bij wolkaanbieders. Door deze uitbesteding hebben ondernemingen geen eigen afdeling meer nodig die verantwoordelijk is voor beheer en beveiliging van informatie- en communicatietechnologie. Of zij kunnen volstaan met een veel kleinere IT-afdeling. Op die manier kunnen arbeidsplaatsen worden bespaard.
|
Werken in de wolken
Cloud computing is een op internet (de ‘wolk’) gebaseerd model van systeemarchitectuur, waarbij vooral gebruik wordt gemaakt van Software as a Service (SaaS), Platform as a Service (PaaS), en Infrastructure as a Service (IaaS). Wolkvoorzieningen zijn een gemeenschappelijk depot van gevirtualiseerde computerdiensten waarmee gebruikers toegang te krijgen tot programma’s en data in een webgebaseerde omgeving. Zolang de gebruiker toegang heeft tot het internet is de wolkdienst altijd beschikbaar — zonder tussenkomst van derden.
De wolkomgeving groeit mee of krimpt in al naar gelang de behoeften van de gebruiker en is dus volledig schaalbaar. Bovendien wordt alleen betaald voor feitelijk gebruik van de wolkdiensten (pay for use). Door centralisatie van virtuele infrastructuren kan een directe kostenbesparing van 15 tot 20% worden bereikt ten opzicht van traditionele oplossingen. De virtualisatie van de eigen infrastructuren biedt een beveiligde oplossing voor gedistribueerd telewerken.
Het meest bekende type wolkmodel is de publieke wolk. In dit model biedt de wolkprovider voor bedrijven en particulieren alle applicaties, dataopslag en infrastructuur via het internet aan. De programma’s en data zijn voor personeelsleden vanaf diverse locaties toegankelijk, ongeacht de hardware platforms die zij gebruiken. Alle informatie en alle software staan volledig op de servers van de externe dienstverlener. Voor alle afnemers wordt een generieke functionaliteit aangeboden.
Het tweede type wolkmodel is de particuliere wolk. In dit model opereert de it-afdeling van een organisatie als de leverancier van diensten voor interne bedrijfsklanten. Alles wordt intern opgeslagen en beheerd, waarbij alleen de backups van data extern worden opgeslagen. Dit model is populair bij bedrijven die meer controle willen houden over hun infrastructuur en die meer vertrouwen hebben in hun interne it-afdelingen dan in een externe voorziening. De verantwoordelijkheid voor het onderhoud van de particuliere wolk ligt bij een professionele leverancier van ict-diensten. De fysieke locatie van de componenten van de ic-infrastructuur kan zowel een wolkleverancier zijn als de organisatie zelf.
In het derde model, de hybride wolk, convergeren de publieke en de particuliere wolk, terwijl ze tegelijkertijd effectief gescheiden blijven. Daarbij wordt bijvoorbeeld een externe opslagwolk gebruikt voor het archiveren van bestanden die niet meer actief gebruikt worden, terwijl de actuele financiële informatie op een interne wolk wordt opgeslagen waardoor de veiligheid strakker en veiliger beheerd kan worden.
|
Een goed beveiligde informatiewolk kan voor ondernemingen een relatief beveiligingsvoordeel opleveren. Grote aanbieders van wolkdiensten bieden vaak een hoogwaardige it-beveiliging die veel ondernemingen zich niet kunnen veroorloven. Vanuit de optiek van cyberspionage kleven er echter ook een paar zwakke punten aan het ‘gewolk’:
- Ten eerste moeten kleine, midden- en grote ondernemers veel vertrouwen stellen in een specifieke aanbieder van de wolkvoorziening (cloud providers). De meeste directeuren en managers kunnen immers niet echt goed beoordelen hoe sterk en betrouwbaar de beveiligingsmaatregelen van deze aanbieder (die vaak aan de andere kant van de aardbol is gevestigd) werkelijk zijn en of de meer of minder vertrouwelijke informatie ook werkelijk op de aangegeven wijze wordt opgeslagen, beschermd en niet aan derden verkocht.
Wanneer een wolkleverancier geen gebruik maakt van standaardtechnologieën en -oplossingen dan is het moeilijk vast te stellen of deze wel voldoet aan de gestelde beveiligingseisen. Wolkleveranciers die andere technologieën, strategieën, methoden en oplossingen aanbieden, zijn daarom niet per definitie slechter. De eigenaar van systemen en processen kan zijn verantwoordelijkheden op het gebied van beveiliging delegeren aan de wolkleverancier. Maar uiteindelijk blijft de eigenaar zelf verantwoordelijk voor de beveiliging van zijn ondernemingsbronnen en moet hij/zij in staat zijn om vast te stellen of de gedelegeerde verantwoordelijkheid op adequate wijze is ingevuld [NCSC 2012:27].
Het uitbesteden van diensten die vertrouwelijke informatie betreffen brengt dus specifieke risico’s met zich mee. Ondernemingen en instellingen die hun ict-infrastructuren virtualiseren, blijven verantwoordelijk voor de beveiliging van vertrouwelijkheid van gegevens over hun medewerkers en klanten/cliënten. Als vertrouwelijke gegevens uitlekken dan worden —conform de Europese regelgeving— de uitbestedende organisaties aansprakelijk gesteld voor eventuele schade. Maar als men gebruik maakt van online wolkdiensten heeft men zelf geen controle meer over de locatie en manier waarop de data wordt opgeslagen en is men afhankelijk van de aanbieder van wolkdiensten.
Afwegingen maken
Hoe beslis je of het gebruik van wolkvoorzieningen geschikt is voor een organisatie of onderneming? Bij deze beslissing moet zowel in kaart worden gebracht wat de bedrijfsmatige gevolgen zijn voor arbeids-, organisatie-, communicatie- en beheersprocessen als wat die ondernemingsmatige gevolgen zijn voor monetaire en personele kosten en baten. Een eenmaal doorgevoerde uitbesteding is in de praktijk moeilijk omkeerbaar. Daardoor kunnen problemen ontstaan zoals afhankelijkheid van de dienstverlener, risico van kwaliteitsverlies bij opdrachtnemer, verlies van know how en technologische afhankelijkheid.
Veel ondernemingen maken de fout om bij de kosten-baten calculatie alleen rekening te houden met de directe kosten van uitbesteding en de aanvullende kosten (en verlies van deskundigheid) op langere termijn buiten beschouwing te laten.
|
- Wolkaanbieders hebben een cruciaal belang bij de veiligheid van de data die zij beheren. Zodra een wolkvoorziening gekraakt wordt door kwaadwillende buitenstaanders betekent dit het einde van deze onderneming. Toch zijn ook wolkaanbieders niet bestand tegen fouten in de configuratie van de beveiliging, tegen daders van binnenuit, of tegen zeer goed getrainde en creatieve aanvallers. Voor de gebruikers van de wolkvoorziening is daarbij altijd de vraag of de aanbieders van de dienst wel melding maken van een wolkinbraak.
Uitbesteding van it-beveiliging door het inhuren van een wolkvoorziening helpt om kleine criminelen buiten de deur te houden, maar is ook een aantrekkelijke uitnodiging voor gekwalificeerde en behendige aanvallers. Zij hoeven niet telkens in verschillende ondernemingen in te breken om een veelvoud van verschillende informaties te verwerven. De aanvaller hoeft slechts één keer in te breken. Professionele cyberspionnen worden hierdoor aangetrokken en hebben goede kansen om zeer waardevolle informatie te stelen. Wie al zijn kroonjuwelen en geheimen toevertrouwd aan een virtuele wolk, behaalt daarmee dus niet zonder meer een beveiligingsvoordeel.
In haar Jaarverslag 2012 formuleerde de AIVD dit risico als volgt. “Het toenemend gebruik van online-diensten voor de creatie, uitwisseling of opslag van gegevens (in the cloud) vergroot het risico van digitale spionage door andere staten. In korte tijd kunnen zij op veel verschillende plekken binnen de digitale infrastructuur grote hoeveelheden data (laten) onderscheppen”
Om de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten publiceerde het Nationaal Cyber Security Centrum (NCSC) in januari 2012 haar Whitepaper Cloud Computing. In dit rapport worden niet alleen de mogelijkheden en voordelen van uitbesteding van it-werkzaamheden aan wolkvoorzieningen besproken, maar ook de condities en mogelijke risico’s.
|
“Als ik Coca Cola was, zou ik mijn recept niet opslaan in de cloud. Cloud-aanbieders hebben doorgaans de veiligheid goed op orde, maar er zijn potentiëel grote risico’s verbonden aan het extern opslaan van gegegevens. We zien vooral Oost-Europese en Aziatische misdaadorganisa-ties die het hebben gemunt op bedrijfsgegevens en bijvoorbeeld wachtwoorden. En het zou zelfs kunnen dat sommige overheden zich er schuldig aan maken” [Troels Oerting, Directeur van het European Cybercrime Centra van Europol, in Elsevier, 1.3.13].
|
Ook in Nederland zijn buitenlandse spionagediensten actief bezig met het verzamelen van inlichtingen. Uit de kwetsbaarheidsanalyse van de AIVD [2010] blijkt dat gevoelige informatie in systemen kwets-baar wordt door de toenemende verwevenheid en complexiteit van computersystemen en het koppelen van systemen voor opslag van gegevens. Ook het uitbesteden van activiteiten als systeem- en serverbeheer, datawarehousing en gegevensverwerking brengt spionagerisico’s met zich mee. Bij cloudcomputing en datawolken zijn deze risico’s nog veel groter.
Cloudcomputing maakt de opsporing van misdadigers nog moeilijker. De volgens Europol meer dan 6.000 misdaadgroepen in Europa maken steeds meer gebruik van de meest geavanceerde technologische middelen. Net als hun slachtoffers slaan zij hun data verspreid op in de wolkvoorzieningen [Europol,mrt 2013; Security.nl, 20.3.13]. De technieken van digitale opsporingsdiensten lopen ook op dit punt ver achter.
|
Internationale perikelen
Het virtualiseren en centraliseren van organisationele ict-voorzieningen biedt veel voordelen: schaalbaarheid, elasticiteit, hoge prestatie, veerkracht (herstelvermogen), beveiliging en kostenefficiëntie. We hebben er al op gewezen dat er risico’s verbonden zijn aan het uit handen geven van vertrouwelijke gegevens. De kern van de kwestie is controle. Wanneer de betreffende gegevens niet meer binnen de eigen organisatie worden vastgelegd en beheerd, wordt enerzijds het risico van interne manipulatie, vervreemding of misbruik verminderd. Anderzijds worden door externe opslag juist de risico’s vergroot.
Data die herleidbaar zijn tot individuen is de privacywetgeving van toepassing. Volgens de wet- en regelgeving in de Europese Unie mogen persoonsgegeven niet buiten Europa worden opgeslagen, tenzij het land waar die data heen gaan hetzelfde niveau van beveiliging heeft. De Europese commissie bepaalt of dit het geval is.
Het ‘Safe Harbor Certification Mark’ van het Amerikaanse ministerie van Handel. Lang niet alle organisaties die dit logo voeren voldoen daadwerkelijk aan de formele Safe Harbor-eisen. Sommige bedrijven maken gewoon hun eigen zegels van betrouwbaarheid en plaatsen die op hun websites, onderzoeken, emails etc.
|
Persoonsgegevens en andere privacygevoelige data mogen bijvoorbeeld niet in de Verenigde Staten worden opgeslagen. Daar geldt immers de Patriot Act die de Amerikaanse overheid toegang geeft tot alle gegevens van alle bedrijven. De enige uitzondering daarop is de Safe Harbor-regeling. Amerikaanse bedrijven kunnen een procedure volgen waarin zij aantonen dat zij zich aan de Europese wetgeving houden. Herhaaldelijk is aangetoond dat Amerikaanse bedrijven claimen lid te zijn van de Safe Harbor terwijl zij dat niet (of niet meer) zijn. Europese burgers, bedrijven en instellingen lopen dus een groot risico dat zij door deze claims worden misleid [Connolly 2008].
Het College Bescherming Persoonsgegevens (CBP) vindt de garanties die Amerikaanse clouddiensten (zoals Google, Dropbox en Microsoft) ten aanzien van de bescherming van Europese persoonsgegevens bieden nogal dun. Het Safe Harbor-certificaat is een vorm van zelfcertificering die niet garandeert dat de verwerking van de gegevens in de VS zelf voldoet aan Europese richtlijnen. De door de Nederlandse regering gewenste meldplicht voor datalekken in bij clouddiensten is alleen te realiseren als daarover heldere afspraken worden gemaakt met de cloudleverancier en eventuele sub-bewerkers die worden ingeschakeld om bijvoorbeeld opslag of beheer te verzorgen [CBP, Zienswijze over cloud computing; Binnenlandsbestuur, 12.9.12].
De Patriot Act is gericht op het bestrijden van terrorisme en kent de Amerikaanse overheid vergaande bevoegdheden toe op het gebied van forensisch onderzoek. Amerikaanse organisaties en bedrijven zijn verplicht om toegang te verlenen tot hun servers en netwerken. Ook bedrijfsonderdelen buiten het Amerikaanse grondgebied moeten medewerking verlenen aan dergelijk onderzoek. In de praktijk betekent dit dat Amerikaanse wolkleveranciers nooit kunnen garanderen dat gegevens van Europese bedrijven en instellingen niet door Amerikaanse overheidsdiensten gecontroleerd zullen worden. Op 26 mei 2011 tekende Barack Obama een verlenging voor vier jaar van drie belangrijke onderdelen van de oorspronkelijke Patriot Act.
|
|
Cybermanipulatie van financiële markten |
|---|
Van digidiefjes tot onregelaars van financiële markten
Het financiële stelsel van een samenleving is een van de meest kritische infrastructuren van een nationale staat en van de onderlinge verbanden tussen staten. Het geld dat burgers op hun bank hebben staan, mag niet gestolen worden. Zij hebben hun geld aan een bank toevertrouwd in de verwachting dat deze goed op hun centen zal passen. Bij alle transacties tussen particulieren verwacht de koper dat de verkoper levert wat is afgesproken, en de verkoper verwacht dat hij volgens afspraak wordt betaald. Koper en verkoper proberen hun transacties zodanig te regelen dat ‘derden’ geen kans krijgen om van deze waardenruil te profiteren. Dit geldt voor transacties tussen een consumenten en ondernemingen, maar ook voor beurstransacties waarin waardepapieren worden verhandeld.
|
Korter dan een knipoog
Een knipoog duurt tussen de 300 en 400 milliseconden. Gedigitaliseerde beurshandel vindt plaats in fracties van een milliseconde. De snelste computerprogramma’s voeren een transactie uit in 0,05 milliseconde — een transactie per 50 miljoenste seconde. In één seconde kunen dus 20.000 transacties plaatsvinden. Door de steeds snellere beurstransacties zijn de transactiekosten sterk gedaald.
|
Op gedigitaliseerde aandelenbeurzen gaan tegenwoordig geen waardepapieren meer van hand tot hand. Er gaan alleen nog maar gedigitaliseerde getallen, rekeningnummers, namen, inlogcodes en wachtwoorden van computer tot computer. Aandelen en derivaten flisten in fracties van een milliseconde flitsen over de internationale beurzen. Deze flitshandel gaat zo snel dat het voor toezichthouders van de beurs nauwelijks meer te volgen is. Ook de dagelijkse financiële transacties tussen consumenten enerzijds en producenten en dienstverleners anderzijds verlopen in toenemende mate van computer tot computer via het internet. Voor een steeds groter aantal mensen bestaat de relatie tot ‘hun’ bank of beurs alleen nog maar uit een uitwisseling van informatie via het internet.
De financiële markten zijn het afgelopen decennium in hoog tempo geautomatiseerd. De meeste financiële transacties verlopen volledig geautomatiseerd via computers die via internet aan elkaar verbonden zijn. Financiële markten zijn daarom bij uitstek het terrein waarop criminelen hun slag proberen te slaan. Digidieven stelen geen portemonnees maar de toegangscodes waarmee we internetbankieren. Banken worden niet meer beroofd door gewapende mannen met bivakmutsen, maar door behendige cybercriminelen die vanaf hun toetsenbord in de computersystemen van banken weten door te dringen en daar grote sommen geld laten verdwijnen. Georganiseerde cybercriminelen penetreren in internationale beurzen. Dubieuze flitshandelaren manipuleren de prijzen van aandelen en derivaten en slagen er in om in fracties van milliseconden enorme kapitalen te laten ‘verdampen’.
De veiligheid en betrouwbaarheid van de gevirtualiseerde financiële transacties worden bedreigd door diverse actoren. Door kleine krabbelaars en zwendelaars die met lokmails wachtwoorden en andere toegangscodes tot particuliere bankrekeningen weten te ontfutselen aan goedgelovige of onoplettende internetgebruikers. Door internationaal opererende criminele syndicaten die via internet banken beroven en beurzen manipuleren. Maar ook door cyberterroristen en overheden die vijandige staten proberen te verzwakken door hun hele financiële stelsel te ontregelen. Ondanks alle inspanningen van beveiligingsbedrijven zijn onze financiële instellingen en markten nog veel te zwak gepantserd om zich tegen dergelijke aanvallen effectief te weren.
De methoden en technieken die deze actoren gebruiken zijn verschillend, maar hebben één ding gemeen: zij verhullen altijd hun eigen identiteit om de pakkans te verkleinen. Daarom is het in de praktijk zeer lastig om te bepalen of een bepaalde cyberoperatie wordt uitgevoerd door individuele crackers, criminele syndicaten, terroristische organisaties of door nationale overheden, of door een combinatie van deze elementen.
Individuele digidieven en georganiseerde cybercriminelen proberen alle sporen te wissen die kunnen leiden tot de identificatie van de daders. Bij politiek gemotiveerde cyberaanvallen op bank- en beurssystemen gebeurt hetzelfde.
Stelende paarden: banking trojans
Internetbankieren is in Nederland zeer populair: 80% van de bevolking gebruikt inmiddels internet voor bankzaken [CBS, 1.8.12]. Voor digidieven is dat een lucratief operatiegebied. In 2011 werden er 55.000 betaalpassen geskimd waarmee 39 miljoen euro werd buitgemaakt [Zembla 23.11.12]. De schade die met internetbankieren werd opgelopen bedroeg in datzelfde jaar 35 miljoen euro. In 2012 daalde de totale cybercrimeschade met 11 procent.
| Schade fraude betalingsverkeer in mln € |
| |
2010 |
2011 |
2012 |
| Internetbankieren |
9.8 |
35,1 |
34,8 |
| Skimming |
19,7 |
38,9 |
29 |
| Overig |
27,6 |
18 |
18 |
| Totaal |
57,1 |
92,1 |
81,8 |
| De schadebedragen zijn nog steeds imponerend. Maar het aantal transacties waarbij geld verdwijnt, is procentueel erg klein. Per jaar vinden ongeveer drie miljard transacties plaats via internetbankieren, waarbij ongeveer 3,2 biljoen euro wordt overgemaakt. Bij slechts 0,0001 procent van de transacties wordt fraude gepleegd. Volgens de Nederlandse Vereniging van Banken (NVB) is dit het bewijs dat het betalingsverkeer in Nederland veilig is. |
De schade door fraude met internetbankieren daalde in de tweede helft van 2012 aanzienlijk (60%). Het schadebedrag daalde van 24,8 miljoen naar 10 miljoen euro. In de tweede helft van 2012 kostte de diefstal via internetbankieren de Nederlandse 10 miljoen euro. Dat was 52% minder dan in de eerste zes maanden van 2011, toen deze schade 24,7 miljoen bedroeg. Deze daling is het gevolg van het feit dat banken het betalingsverkeer veel nauwlettender in de gaten houden. Hierdoor worden verdachte transacties veel sneller opgemerkt dan voorheen. De daling van de fraude met internetbankieren is deels ook toe te schrijven aan de oprichting in 2011 van de Electronic Crimes Task Force (ECTF), waarin banken samenwerken met het Openbaar Ministerie en politie. (in eerste instantie ondergebracht bij het KLPD, sinds 1 januari 2013 bij de nationale recherche). Bovendien zijn consumenten zich ook meer bewust van de methoden die criminelen gebruiken om te frauderen.
Ook het skimmen vertoonde in de tweede helft van 2012 een sterke daling (41%). Dit is vooral het gevolg van de invoering van de EMV-chip waarvan de magneetstrip niet meer te kopiëren is (‘het nieuwe pinnen’). Door introductie van het geoblocking kan de pinpas buiten Europa niet worden gebruikt, tenzij de eigenaar van de pas dit expliciet toestaat [NVB,2.4.13].
Ook uit de cijfers van de NVB blijkt dat de focus van internetfraudeurs verschuift van het hengelen naar vertrouwelijke gegevens (phishing), naar de ontwikkeling van malware waarbij criminelen speciale software schrijven om computers te infiltreren. Voor cybercriminelen is er een ruim aanbod van kwaadaardige software waarmee bankrekeningen geplunderd kunnen worden. Voorbeelden van deze banking trojans zijn: Tatanga, Feodo, Carberp, Citadel (Dorifel), Mebroot, SpyEye en Zeus.
Zeus
«Zeus» —ook bekend als ZeuS of Zbot— is een Trojaans paard dat gebruikt kan worden om meerdere illegale activiteiten uit te voeren: versturen van spam, deelname aan DDoS-aanvallen, verzamelen van persoonsgegevens (‘credentials’) voor online diensten, inclusief bancaire diensten. De diverse botnets van Zeus compromitteerden miljoenen computers in 196 landen (vooral in Egypte, de VS, Mexico, Saoedi-Arabië en Turkije). In de criminele wereld wordt Zeus verkocht voor $3.000-4.000. Bij criminelen die gespecialiseerd zijn in financiële fraude is Zeus zeer populair.
Zeus steelt informatie die in http-formulieren wordt ingevoerd, accountgegevens die zijn opgeslagen in de Windows Protected Storage, en certificaten van FTP en POP abonnementen. Het modificeert HTML-pagina’s van websites, zoekt naar bestanden en uploadt deze, wijzigt bestanden van lokale gastheren, en vernietigt cruciale registratiesleutels [Secureworks, 11.3.10].
Zeus is voorzien van een KOS-commando (Kill Operating System) waarmee essentiële computerbestanden worden vernietigd waardoor de computers onbruikbaar worden. De aanvallers verminken de PC met opzet zodat ze meer tijd krijgen om de bankrekeningen te plunderen. De rovers hebben die tijd nodig om met de gestolen inlogggevens de bankrekening te plunderen en het geld naar verschillende katvangers over te maken. Slachtoffers zijn niet meer in staat online hun bankrekening te blokkeren of malafide transacties terug te draaien.
Werking van het Trojaanse paard Zeus
[klik om te vergroten]
|
|---|
Zeus is eenvoudig te gebruiken, makkelijk verkrijgbaar en zeer effectief. Ze wordt daarom wel “de koning van de botnets” genoemd. Zeus is een intelligent geconstrueerd Trojaans paard dat er telkens weer in slaagt om beveiligingsmaatregelen en detectie te omzeilen.
Aanvankelijk infecteerde Zeus alleen Windows computers die FireFox en Internet Explorer gebruiken als webbrowser. Het criminele paard kan inmiddels ook andere besturingssystemen en browsers besmetten.
Sinds 2011 is er een Zeus-variant opereert in mobiele apparaten die draaien op Android besturingssysteem. «Zitmo» infecteert Android mobieltjes en onderschept de codes die gebruikt worden om financiële transacties te beveiligen. Zeus word geactiveerd zodra een gebruiker van een geïnfecteerde telefoon probeert toegang te krijgen tot een website van zijn bank. Om het inlogproces te voltooien vraagt Zeus aan de gebruiker om een beveiligingscomponent te downloaden op hun mobiele apparaat. Deze component geeft de cybercrimineel volledige controle over het mobiele apparaat. Op naam van de gebruiker wordt vervolgens een frauduleuze transactie uitgevoerd. Het bevestigingsbericht van deze transactie wordt van het apparaat verwijderd zodat de gebruiker het niet ziet.
Sinds de broncode van Zeus in 2011 werd gelekt, lijkt elke nieuwe criminele code om bankrekeningen te plunderen gebruik te maken van de basismodules en constructieprincipes van Zeus.
Door het succes van Zeus verschenen er talloze copycats die Zeus probeerden te imiteren. In concurrenten zoals SpyEye (Eyebots) is een «kill Zeus» optie ingebouwd waardoor Zeus-bots kunnen worden overgenomen. Dit leidde tot een botnetoorlog [eWeek, 17.2.11]. Criminele groepen vechten hun onderlinge strijd uit door het kapen van elkaars botnets.
De maker van de Zeus malware (een Russische hacker die opereert onder de naam ‘Slavik’ en ‘Monstr’) droeg in 2010 de verantwoordelijkheid voor zijn code over aan de auteur van SpyEye, de Zwitser Roman Hüssy [Krebsonline, 10.10.10; ThreatPost, 9.11.10].
Eind 2011 verscheen een geheel nieuw platform voor botnets op de markt dat gebaseerd was op de broncode van Zeus: Citadel. Voor ongeveer € 2.000 was het platform te koop, inclusief handleiding, licentie-overeenkomst, release notes en toegang tot een forum voor ontwikkelaars. Citadel is een open source platform waarbij gebruikers suggesties kunnen doen om functies toe te voegen of te perfectioneren. Met gewone meerderheid wordt gestemd over voorstellen voor nieuwe functies en modules [Threatpost, 8.2.12] Webwereld, 17.2.12; Security.n;l, 10.8.12; Webwereld, 15.08.12].
|
Cybercriminelen gebruiken zeer uiteenlopende methodes en technieken om bankgegevens te stelen. Bekende methodes zijn: man-in-the-browser, keyloggers en form grabbing.
Man-in-the-browser (MiTB of MIB) is een computeraanval waarbij een Trojaans paard een webbrowser infecteert om tijdens het internetbankieren webpagina’s te veranderen of zelfstandig transacties uit te voeren. Gebruikers merken daar meestal niet van om zij zich op de echte website van de aanbieder bevinden, correct zijningelogd en de ongewenste transacties er voor hen uitzien als normale transacties. Maar de bank ontvangt andere instructies met een ander rekeningnummer als begunstigde. Trojaanse paarden die deze aanvalsvorm gebruiken, zijn onder meer Agent.DBJP, Bugat, Carberp, ChromeInject, Clampi, Gozi, Nuklus, OddJob en Citadel.
Keyloggers registeren de toetsen die op een toetsenbord worden aangeslagen. Maar zij registeren niet de teksten die ineen formulier of die worden inteypt op een virtueel toetsenbord. Hetzelfde geldt voor gebruikersnamen en wachtwoorden die automatisch worden ingevuld.
Form Grabbing is een aanvalsmethodiek waardoor authorisatie- en inloggegevens van een webformulier worden opgevist voordat zij via internet naar een veilige server worden overgedragen. De bankgegevens van de slachtoffers worden ook geregisteerd wanneer zij gebruik maken van een virtueel toetsenbord, auto-fill of van copy-and-paste.
Vereenvoudiging van digitale bankroof
Voorheen verstopten banking Trojans zich in de webbrowser. Middels deze man-in-the-browser-aanval kaapte de malware in real-time de sessie van de gebruiker. Inmiddels herkennen de beveiligingssystemen van banken deze anomalieën tijdens de transacties en kunnen zij de activiteiten van deze banking Trojans blokkeren.
Om minder snel op te vallen is de malware inmiddels aangepast en is er voor een eenvoudigere aanpak gekozen. Wanneer gebruikers op hun online bankrekening inloggen, krijgen zij een valse webpagina te zien die erg lijkt op de officiële bankpagina. Als de gebruiker op deze neppagina zijn inloggegevens invult, worden die naar de cybercriminelen doorgestuurd. De gebruiker krijgt een foutmelding te zien dat internetbankieren tijdelijk onbereikbaar is” [Security.nl, 11.2.13].
Met deze tactiek bereikt de gebruiker nooit de inlogpagina van de bank. Zo wordt voorkomen dat de verdedigingssystemen van de bank de malware detecteren en de fraude identificeren.
Uitbreiding van banking trojans
De nieuwste banking malware valt niet alleen banksites aan, maar ook sociale media, middenstanders en gameportalen. Ze voegen extra velden toe aan webformulieren om PIN-codes en andere gevoelige informatie te stelen en ze wissen hun sporen van het webverkeer.
Een voorbeeld daarvan is Neverquest, een nieuwere versie van de Gozi Trojan die verantwoordelijk was voor het stelen van miljoenen euro’s van bankrekeningen van slachtoffers [ThreatPost, 4.9.14].
Neverquest wordt verspreid via de exploitatie-bouwdoos Neutrino. Het kwaadaardige paard is zo geprogrammeerd dat het zichzelf activeert als een slachtoffer een van de meer dan 100 banken en financiële instellingen bezoekt die in de malware zijn gedefinieerd. Bankgegevens en andere persoonsgegevens worden verzameld en naar de cybercriminelen verstuurd. Om namens het slachtoffer transacties uit te voeren maken de cybercriminelen een VNC-verbinding aan en slepen de rekeningen leeg. Het geld wordt overgemaakt naar rekeningen van de cybercrimineel zelf of zijn geldezel, of naar rekeningen van andere slachtoffers. Soms worden de inloggegevens veranderd waardoor het slachtoffer helemaal niet meer bij zijn eigen rekening kan komen.
Net als Zeus is ook Neverquest op de zwarte markt te koop. Maar anders dan met Zeus zijn er voor de bediening van Neverquest geen gekwalificeerde controleurs nodig. Het criminele kind kan hier de malafide was doen [TechRepublic, 30.12.14].
|
Banken meervoudig in de klem
Banken staan bloot aan zeer uiteenlopende cyberaanvallen van een grote en gevarieerde schare aanvallers. Cybercriminelen richten op de individuele klanten van een bank, maar ook op de transactiesystemen van de bank zelf of op het interbancaire geldverkeer.
De meest gangbare cyberaanvallen op banken zijn DDoS-aanvallen. Omvangrijke botnets worden gemobiliseerd om de toegang tot de inlogpagina’s voor telebankieren te versperren. De hackers die zo’n aanval lanceren zijn net zo divers al hun motieven.
- Vandalistische hackers
De aanval kan een kwajongensstreek van hobbyistische hackers zijn, een hinderlijke treiteractie van digitale vandalen. Zij veroorzaken een kortstondige pain in the ass, maar richten minimale (maar daarom niet verwaarloosbare) schade aan. Het opzetten van een DDoS-aanval is relatief eenvoudig. Een typische flooding-aanval is vanuit de huiskamer op te zetten.
- Revanche van ontevredenen
De aanval kan op touw zijn gezet door een klant die zich door de bank bestolen voelt, of door een ontevreden eigen werknemer. Vaak zijn het de eigen werknemers die de grootste bedreiging vormen. Bovendien zijn juist zij zeer goed op de hoogte van de werking van bancaire computersystemen en dus ook met de kwetsbaarheden daarvan. Ontevreden werknemers en rancuneuze ex-werknemers zijn in staat om een bank substantiële schade te berokkenen.
- Afleidingsmanoeuvre
Een DDoS-aanval kan als afleidingsmanoeuvre worden ingezet. Daarbij wordt aan de voordeur van de banksite veel kabaal gemaakt, om vervolgens zo stiekem mogelijk langs een achterdeurtje in het transactiesysteem te penetreren. In dat geval wordt een DDoS-aanval gebruikt om het werkelijke doel (= malafide transacties) te verhullen. Het is ook niet ondenkbaar dat banken zich beroepen op een ‘cyberaanval’ om schadeclaims te ontlopen die door gedupeerde rekeninghouders kunnen indienen omdat de bank zelf onbetrouwbaar of instabiel (storingsgevoelig) is.
|
DDoS-aanval + Cyberinbraak
In Amerika werd een digitale bankroof gepleegd die werd mogelijk gemaakt door een slim opgezette DDoS-aanval. Terwijl de verdediging van de bank concentreerde zich op deze DDoS-aanval gingen de crackers aan de haal met pinpas- en betaalkaartgegevens. Met deze data werden pasjes gekloond waarmee geld uit pinautomaten werd getrokken. Omdat de DDoS-aanval tegelijkertijd het telefoonsysteem van de bank platlegde, konden klanten niet worden benaderd over verdachte transacties op hun rekeningen. De cyberbende sprokkelde zo in 48 uur 9 miljoen dollar bij elkaar.
Het lamleggen van een banksysteem met een DDoS-aanval levert voor een cyberbende tijd op om rekeningen leeg te trekken. De DDoS-aanval fungeert als een afleidingsmanoevre die ervoor zorgt dat de cyberinval zo lang mogelijk onopgemerkt blijft. “Bij een DDoS-aanval zijn IT-ers druk bezig de site of server in te lucht te houden of te krijgen en hebben dan mogelijk minder aandacht voor andere toegangspoorten in het netwerk” [Webwereld, 22.10.12]. In de beveiligingsgemeenschap zijn nog geen goede scenario’s ontwikkeld voor de verdediging tegen aanvallen die van meerdere kanten tegelijk komen.
|
- Voorbereidingsmanoeuvre
Cyberaanvallen op bancaire systemen worden soms eerst getest (onder druk gezet) om hun kwetsbaarheden te ontdekken. Soms is een DDoS-aanval slechts een opstap voor een vervolgactie. De meest eenvoudige vorm daarvan is deze: (i) blokkeer de toegang tot inlogpagina’s voor internetbankiers met een eenvoudige DDoS-aanval, (ii) misleid vervolgens de verontrustte clientele van de bank met een lokmail die hen ertoe verleid hun inlogcodes af te staan.
- Afpersing
Cybercriminelen kunnen de toegang tot banksites blokkkeren of klantgegevens stelen en daarmee banken afpersen. De criminelen beloven dat zij hun acties zullen staken als er losgeld is betaald.
- Vijandige concullega’s
Banken kunnen in cyberspace worden aangevallen door andere concurrerende banken. De nationale maar vooral ook steeds meer globale concurrentie tussen bankconsortia wordt door sommige actoren ook gevoerd met andere dan ‘marktconforme’ middelen. De versluierende metafoor van het ‘buiteneconomisch’ geweld neemt hier steeds meer de vorm aan van «digitaal geweld». Digitaal of geweld is weliswaar louter ‘virtueel’ geënsceneerd, maar daarom in zijn gevolgen niet minder effectief en reëel.
- Politiek activisme
Soms worden banken aangevallen door politiek gemotiveerde cyberactivisten. Het spectrum van actoren loopt uiteen van (i) humanitair geïnspireerde activisten die protesteren tegen het in hun ogen illegitieme of immorele investeringsbeleid van een bepaalde bank, via (ii) politiek-religieus geïnspireerde terroristische bewegingen die de financiële infrastructuur van hun vijandige staten ontregelen, tot (iii) individuele vaderlandslievende cyberrambo’s die het heft in eigen hand nemen —al dan niet officieel of inofficieel (openlijk of heimelijk) aangemoedigd, gesponsord of getolereerd door de regeringsautoriteiten.
- Cyberoorlog
Cyberaanvallen op bancaire systemen worden ook gelanceerd door rivaliserende nationale staten die een strategisch voordeel proberen te behalen door het financieel verkeer van de conflicttegenstander te ontregelen. De schade die daarmee wordt aangebracht is zeer substantieel en duurzaam.
Bij cyberaanvallen op banken is het in eerste instantie altijd zeer lastig om vast te stellen met wat voor soort aanvallers men te maken heeft en wat hun precieze intenties zijn. Dat was ook het geval met de grootscheepse DDoS-aanval die vanaf 5 april 2013 werd uitgevoerd op de ING Bank en het betalingssysteem iDeal. De aanvallers belastten de servers van meerdere banken door herhaaldelijk proberen in te loggen met behulp van gekaapte computers van het aanvallende botnet. Het online betalingsverkeer werd een aantal dagen lang gestoord.
Zoals gebruikelijk werd de aanval niet rechtstreeks vanaf één bron gelanceerd, maar via een veelvoud van gemaskeerde IP-adressen. Om de bron of bronnen te lokaliseren moeten eerst de schakels tussen deze proxies in kaart worden gebracht.
|
“Digitaal geld is ondertussen zo’n groot deel van ons leven uit gaan maken dat de veiligheid daarvan geborgd moet zijn” [Kamerlid Arnold Merkies, in: SP.nl].
|
Het Team High Tech Crime (THTC) van de politie begon in opdracht van het Openbaar Ministerie een onderzoek naar de cyberaanval. Het Nationaal Cyber Security Centrum (NCSC) probeerde om de servers die achter de aanval zaten offline te krijgen [Nu.nl, 6.4.13; NOS, 6.4.13].
De identiteit en intenties van de aanvallers zijn nog niet bekend. Ook niet of de oplichters die misbruik maakten van de onzekerheid bij ING-klanten door daarop inspelende frauduleuze lokmails te versturen ook verantwoordelijk waren voor de DDoS-aanval. Niemand claimde de verantwoordelijkheid voor de DDoS-aanval [NSSC, 9.4.13].
De Nederlandse Vereniging van Banken (NVB) stelde voor om cyberaanvallen op banken te verheffen tot een zaak van nationale veiligheid. Maar als dat gebeurt heeft de Nederlandse overheid ook de plicht om regels te stellen aan het beveiligingsbeleid van particuliere banken. Dat zal de banken minder bevallen.
|
Pas op voor nepmails ING
Soms zijn simpele DDoS-aanvallen die de bandbreedte overbelasten alleen maar bedoeld om de klanten of gebruikers van de aangevallen site of server onzeker te maken. Van die onzekerheid wordt vervolgens direct gebruik gemaakt door lokmails waarin de verontrustte clientèle wordt uitgenodigd om op een bepaalde link te klikken die ervoor zorgt dat je weer veilig bent.
Het is een klassieke tactiek van de Italiaanse maffia: je stuurt eerst de harde, dreigende enforcers naar het doelwit, vervolgens stuur je de behulpzame redders in de nood om je daartegen te beschermen. Het uiteindelijk resultaat is dat het slachtoffer een hoge rekening betaald voor zijn protectie — het slachtoffer wordt bestolen.
Op het internet gaat dit subtieler, maar het resultaat is hetzelfde. Dit was de lokmail waarmee ING-rekeninghouders werden bestookt.
“Cybercriminelen misbruiken de recente aanval op sites van Nederlandse banken om phishingmails te versturen. Momenteel is er een nepbericht van ING in omloop waarin staat dat door internetfraude uw rekeninggegevens onvoldoende beveiligd zijn. U wordt gevraagd op een link te klikken om uw gegevens te beveiligen. Doe dat niet, maar verwijder het bericht.
Het bericht is een duidelijk geval van phishing: een vorm van internetfraude, waarmee fraudeurs proberen achter uw bankgegevens te komen. In phishingberichten wordt u gevraagd om persoonlijke gegevens, zoals uw naam, adres, telefoonnummer, rekeningnummer of inloggegevens van uw bank. Of u wordt gevraagd op een link te klikken. Onthoud dat uw bank nooit via e-mail, telefoon of sms om persoonlijke gegevens zal vragen. Ook zal uw bank u nooit via een onpersoonlijk bericht vragen een nieuwe website te testen, de veiligheid van internetbankieren te testen of mee te werken aan een update van internetbankieren. Krijgt u zo'n verzoek? Ga hier dan dus niet op in” [Politie, 9.4.13].
|
Bankroof in de 21ste eeuw
Bankovervallen worden niet meer gepleegd door gemaskerde criminelen die gewapend een bankfiliaal binnenstormen, maar door cyberboeven die achter computers zitten waarmee zij vanaf veilige afstand inbreken op de computersystemen van een bank of van hun klanten.
Er zijn cyberaanvallen bekend waarbij 130 banken binnen één dag 10 miljoen dollar verloren. Als dit een traditionele bankroof was geweest, zou het wereldnieuws zijn geworden. In dit geval besloten de bankdirecties om geen ruchtbaarheid te geven aan deze cyberroofoverval uit angst dat dit hun zaken negatief zou beïnvloeden. Verlies van veiligheidsreputatie en klantvertrouwen is de nachtmerrie voor elke bankier.
De criminelen hadden ingebroken op een computernetwerk waar zij informatie stalen van meerdere rekeningen. De PIN-codes werden ontcijferd en met deze gegevens werden witte plastic pasjes gemaakt waarmee via geldautomaten rekeningen werden leeggeroofd. Om deze klus te klaren, kwamen tientallen criminelen tegelijk in actie in 49 steden in Europa, Noord-Amerika, Zuid-Amerika en Azië. Het illustreert de internationalisering van cybercriminaliteit. In totaal werd bij deze Operation High Roller $2,5 miljard gestolen [Business Insider, 28.6.12].
- Beroving van Citibank
De eerste grote internationale cyberbankroof vond plaats in 1995. Deze werd uitgevoerd door de Russische student Vladimir Levin. Hij brak in op de servers van de Citibank in Engeland en maakte ongeveer 10,7 miljoen dollar over op diverse rekeningen in de VS, Finland, Nederland, Duitsland en Israël. Levin nam zijn laptop mee naar Londen en wist daar zijn krakershand te leggen op een lijst met klantencodes en wachtwoorden. In de weken daarna logde hij 18 keer in om grote sommen geld over te maken naar zijn eigen rekeningen.
Vladimir Levin
|
|---|
Toen Citibank de diefstal ontdekte, werd de klopjacht op de hacker ingezet. In maart 1995 werd hij op het vliegveld in Londen gearresteerd. Dertig maanden lang vocht hij zijn uitlevering aan, maar werd uiteindelijk in de VS voor het gerecht gebracht. Daar werd hij op 24 februari 1998 veroordeeld tot 3 jaar gevangenisstraf en hij moest $240.015 terugbetalen aan Citibank. Ook vier andere leden van de groep waarmee Levin zijn bankroof had uitgevoerd, werden tot gevangenisstraffen veroordeeld.
Na zijn arrestatie verspreidden anonieme hackers uit St. Petersburg het bericht dat Levin (die biochemie studeerde op de Tekhnologichesky Universiteit in diezelfde stad) niet over de technische vaardigheden beschikte om in de computersystemen van Citibank in te breken. Zij zouden er zelf wel in geslaagd om diep door te dringen in het netwerk van de bank en zouden de details over deze toegang voor 100 dollar aan Levin hebben verkocht.
- Datadiefstal bij Internationaal Monetair Fonds
Banken worden door cybercriminelen beroofd van geld. Internationale financiële instellingen worden door politiek gemotiveerde hackers gekraakt om data te stelen. Medio 2011 bleek dat hackers hadden ingebroken op de computers van het IMF. Het was een geavanceerde inbraak die goed was voorbereid via een speervisactie [BBC, 13.6.11]. Maandenlang slopen de hackers onopgemerkt op de computersystemen van het IMF binnen om daar geleidelijk grote hoeveelheden aan data te stelen met 
zeer vertrouwelijke informatie over de fiscale condities van veel landen. Vermoedelijk was dit een operatie die door een staat was georganiseerd [New York Times, 11.6.11; Bloomberg, 14.6.11]. Beveiligingsanalisten omschreven het als een «staatskraak». Maar het is altijd makkelijker voor organisaties om zich te verschuilen achter boze buitenlandse regeringen dan om toe te geven dat de beveiliging van de eigen systemen ondeugdelijk is. In ieder geval waren de krakers eerder op inlichtingen uit dan op het ontregelen van het netwerk.
Het IMF speelt een belangrijke rol in de economische herstelprogramma’s voor Griekenland, Portugal, Spanje en Ierland. De databestanden van het IMF bevatten informatie die markten in een bepaalde richting kunnen duwen en verslagen van onderhandelingen met regeringsleiders over de voorwaarden van internationale financiële steun. Als die informatie in verkeerde handen komt is dat politieke dynamiet.
|
Leningen en olie
Er was al eerder ingebroken in het netwerk van het IMF. Wat voor informatie er werd gestolen bleef onbekend, maar op 7 november 2008 werd het computernetwerk van de IMF een aantal dagen stilgelegd.
Volgens een voormalige Britse inlichtingenofficier, Nick Day, zat de Chinese regering achter deze aanval. “Waar de Chinezen met name in geïnteresseerd zijn, is welke leningen het IMF aan andere landen gaat geven. De geopolitiek daarvan is dat er een aantal landen zijn die op enorme buitenlandse financiële reserves zitten —Rusland, China, Japan en het Midden-Oosten— en de rest van ons leent van die kredietverschaffers” [Foxnews, 14.11.08; Webwereld, 6.11.08]. Wie vroegtijdig informatie over leningen in handen krijgt, kan andere landen —vooral landen uit de derde wereld met mineralen en olie— benaderen om bij hen een lening af te sluiten, in plaats van bij het IMF.
|
- Bank of Musmac - Oman
Op 19 februari 2013 werd wereldwijd met gehackte creditcards van de Bank of Muscat 30 miljoen euro gepind. De cybercriminelen wisten met een hack betaalpassen te skimmen. De gegevens die daarop stonden werden op magneetstrips gezet, die op andere passen werden gekopieerd. Het geld werd niet van bankklanten gesstolen, maar van rekeningen van banken zelf.
De eerste roof van bijna 4 miljoen euro vond plaats op 21 december 2012. De hackers infiltreerden het systeem van een Indische creditcerdverwerkingsbedrijf dat handelt in Visa en MasterCard prepaidaccounts. Zij verhoogden de opnamelimieten op prepaid MasterCard debitrekeningen die worden uitgegeven door de Nationale Bank van Ras Al-Khaimah in de Verenigde Arabische Emiraten. Door het verwijderen van de opnamelimieten hadden de criminelen slechts een aantal rekeningnumers nodig om een financiële instelling enorme verliezen te bezorgen.
Bij de tweede roof op 19 februari werd ruim 30 miljoen euro uit geldautomaten getrokken. Daarvoor werden over in 23 landendoor een leger van katvangers 4.500 transacties uitgevoerd. Er werd onder meer gepind in Japan, Rusland, Roemenië, Egypte, Colombia, Sri Lanka en Canada. De criminelen hadden hiervoor ingebroken in het systeem van een Amerikaans creditcardverwerkingsbedrijf en hackten daar twaalf rekeningen. Ook dit keer wisten de criminelen de opnamelimiet van de kaarten te verwijderen en stond er een nog groter leger van katvangers klaar om met de gestolen kaartgegevens geld op te nemen [Security, 10.5.13].
Twee van de Amerikaanse bankrovers poseren met rond de 40.000 dollar in cash.
[Klik om te vergroten]
|
|---|
De groep criminelen in New York werd als eerste betrapt. Ze stonden op foto’s terwijl ze door de stad trokken om geld op te nemen en hun rugzakken vulden met cash geld. Acht mensen werden aangeklaagd voor bankroof [NYT, 9.5.13]. Op 19 februari trokken de dieven in een tijdsbestek van 10 uur 2.904 pinautomaten leeg. De vermoedelijke bendeleider, Alberto Lajud-Peña (25) ontsprong de dans en vluchtte uit Amerika. Op 27 maart 2013 werd dood gevonden in de Dominicaanse Republiek. Twee gemaskerde gangsters bestormden zijn huis waar hij domino zat te spelen en begonnen te schieten [Crimesite, 12.5.13].
Bij de groep die in Duitsland pinden in de wereldwijde roof die in New York was opgezet, speelden Nederlanders een belanrijke rol. In Düsseldorf stonden twee Nederlanders terecht voor de miljoenenroof. Zij werden beschuldigd van computerfraude en het vervalsen van creditcards.De Haagse timmerman Eddy Z. (35) en zijn moeder Wilma Z. (56) werden in Düsseldorf gearresteerd met bijna 168.000 euro cash in de laadruimte van hun bestelbusje.
’Om drie uur in de nacht bleven de timmerman en zijn moeder maar geld pinnen in het bankfiliaal aan de Wesfalenstraße in Düsseldorf.
Op de mobiele telefoon van Eddy Z. troffen de rechercheurs Nederlandse sms’jes aan van de pinteams in Frankfurt, Duisburg en Bremen. De criminelen elkaar op de hoogte via sms. Er werden berichtjes naar elkaar gestuurd zoals ‘We zijn succesvol’, ‘Het werktt’ en ‘Ik heb weer 2500 euro en rij nu naar huis’. De timmerman en zijn moeder werden veroordeeld tot vier jaar en drie maanden cel [Die Welt, 15.11.13; Telegraaf, 4.2.14].
Later werden nog zeven andere verdachten uit Nederland geïdentificeerd en aangehouden.
- Evgeniy Mikhailovich Bogachev
Bogachev werd beschouwd als de grootste bedreiging voor het Amerikaanse banksysteem. Nooit zette hij een stap in de VS. Zijn hele operatie voerde hij uit via aanslagen op zijn toetsenbord vanuit zijn huis aan de kust van de Zwarte Zee.
|
|---|
Anapa is een prachtige Russische badplaats aan de Zwarte Zee. Daar woonde de 30-jarige Evgeniy Bogachev, bijnaam ‘Slavik’. In de hackersgemeenschap werd hij berucht als leider een bende Russische en Oekraïense cybercriminelen die via online banktransacties miljoenen dollars buit wisten te maken. De bende ontwierp en gebruikte het botnet GameOver Zeus (GOZ) dat meer dan 1 miljoen Windows computers infecteerde en meer dan $100 miljoen in online banktransacties stal. De FBI omschreef GOZ als “een extreem geavanceerd type malware dat specifiek ontworpen is om bank- en andere vertrouwelijke informatie te stelen van de computers die het infecteert”
[IBTimes, 3.6.14]. Het wordt voornamelijk verspreid via e-mail spam of hengelberichten.
|
Gecentraliseerde commando & controle servers kunnen door beveiligingsexperts worden geïdentificeerd en geblokkeerd.
GOZ is een gedecentraliseerde peer-to-peer (P2P) variant de Zeus familie van bankgegevens stelende malware die in september 2011 werd ontdekt. Om detectie te voorkomen wordt bovendien gebruik gemaakt van encryptie. GOZ is zeer veerkrachtig omdat het geen single point of failure kent.
|
Het botnet kende een gedecentraliseerde infrastructuur waardoor de instructies voor geïnfecteerde computers van elke andere geïnfecteerde computers in het netwerk konden komen. Overname van GOZ werd hierdoor aanzienlijk moeilijker, maar niet onmogelijk.
De slachtoffers van Bogachev’s bende waren onder andere een Amerikaans-Indiaanse stam in Washington state, een verzekeringsmaatschappij, een lokale politieafdeling in Massachusetts, een pestcontrole bedrijf in North Carolina, een restaurant en een regionale bank in Florida.
De GOZ onderschept wachtwoorden en andere persoonlijke informatie die gebruikt wordt om geld over te maken. De malware verstuurt vervolgens geld van de bankrekening van het slachtoffer over naar buitenlandse bankrekeningen die door de cybercriminelen worden gecontroleerd.
Via het GOZ botnet werd ook de ransomware CryptoLocker verspreid die in april 2014 al meer dan 200.000 computers over te hele wereld had geïnfecteerd. Op deze manier haalde de bende $27 miljoen losgeld binnen.
aanklachten in Pittsburgh. 2 juni 2014 kwam hij voor.
- Bankroof ABN Amro & Rabobank - Amsterdam
|
In december 2010 werden al dertien verdachten in deze zaak aangehouden. Toen leek het te gaan om een fraudebedrag van 5,6 miljoen euro en werd gedacht dat alleen ABN Amro het slachtoffer was. Daarna bleek het bedrag te zijn opgelopen tot 45 miljoen euro en bleek ook de Rabobank gedupeerd.
De zes veroordeelde criminelen werden op 23 mei 2011 gearresteerd. Het zijn vijf mannen en een vrouw, die wonen in Bunschoten, Beneden Leeuwen, Utrecht, Amersfoort, Nijkerk en Altforst.
De banken hebben zelf 42 miljoen euro teruggehaald en justitie legde voor een aantal miljoen beslag. Er werd ondermeer beslag gelegd op sportauto’s, twee vrachtwagens, twee scooters en een buitenjacuzzi. Ook werd voor een waarde van 900.000 euro beslag gelegd op meerdere huizen [Nieuwsuur, 24.5.11].
|
Op 18 augustus 2014 veroordeelde de rechtbank in Amsterdam zes mannen tot vier jaar celstraf, wegens het stelen van zo’n 45 miljoen euro bij ABN Amro en de Rabobank. De digitale bankroof vond plaats door de aan- en verkoop van opties en maakten daarbij gebruik van een lek in het computersysteem van de banken. Via internet verhandelde de bende opties in de korte periode tussen de digitale aanschaf en het afrekenen bij de bank. Door een fout in de banksystemen van zowel de ABN Amro als de Rabobank werden de orders pas enige tijd later afgerekend. In de tussentijd hadden de criminelen de opties al doorverkocht en de opbrengst snel overgeboekt naar buitenlandse rekeningen. Op die manier werden in twee jaar enorme sommen geld achterover gedrukt. Volgens de rechtbank had de internetbende door hun acties het vertrouwen van particulieren in digitaal beleggen en bankieren een forse klap toegebracht.
De hoofdverdachte, oud-politieman Ed M. (55) uit Bunschoten beweerde dat hij toevallig tegen een lek van de bank zou zijn aangelopen, maar de rechtbank veegde dat verhaal van tafel. De zes bankrovers werden veroordeeld voor oplichting, witwassen en deelname aan een criminele organisatie [OM, 18.8.14; NRC, 19.6.14; Telegraaf 18.8.14; AD, 18.8.14].
- JPMorgan Chase & Co. (JPM)
In augustus 2014 werden minstens vijf Amerikaanse banken in de VS aangevallen door Russische hackers. JPM was daar een van. Daar werden gigabytes aan klantgegevens gestolen. De FBI vermoedde dat deze aanval een vergelding was voor de sancties die America aan Rusland had opgelegd vanwege haar aggressieve optreden in de Oekraïne.
De hackers kregen toegang tot de websites van de bank door een zero-day softwarelek. Vervolgens ploegden zij zich door uitgebreide beveiligingslagen om de data te stelen. Gezien de subtiliteit van de aanval rees het vermoeden dat zij niet zonder overheidssteun kon worden uitgevoerd [Bloomberg, 28.8.14; Bloomberg, 3.9.14; NYT, 27.8.14; Guardian, 28.89.14].
EEX — Zwendel met emissiecertificaten in EU
Overal waar geld een rol speelt, komen criminelen in actie om het te stelen. In januari 2011 sloegen cyberexperts wereldwijd alarm: hackers waren er in geslaagd in te breken bij het handelssysteem voor emissiecertificaten van de Europese Unie (EEX). De hackers hadden certificaten ter waarde van 30 miljoen euro gestolen en enige dagen later weer ongestoord verkocht. De handel moest worden stilgelegd. Wie de cybercriminelen waren, werd nooit ontdekt. Deze aanval demonstreerde dat de handel, de financiële markt intussen ook in het vizier van cyberaanvallers was gekomen.
Via lokmails hadden de cybercriminelen zich toegang verschaft tot de databanken die officiële informatie bevatten over emissiecertificaten van individuele ondernemingen. De lokmails leken verstuurd te zijn uit naam van de Deutsche Emissionshandelsstelle (DEHSt). Meerdere Europese en een aantal Japanse en Nieuw-Zeelandse ondernemingen ontvingen een bericht waarin zij werden uitgenodigd om door te klikken naar een webpagina om opnieuw hun gebruikersregistratiegegevens in te voeren. De reden die daarvoor werd gegeven was ironisch: het beschermen van het register tegen dreigende aanvallen van hackers.
Zo kregen de hackers de beschikking over informatie om emissierechten over te dragen naar rekeningen in vooral Denemarken en Groot-Brittannië. Van daaruit werden de rechten vervolgens snel doorverkocht [Financial Times Deutschland, 2.2.10]. Minstens negen van dergelijke manipulaties werden bekend. Een middelgroot industrieel bedrijf zou al rechten ter waarde van 1,5 miljoen euro hebben verloren [FTD, 2.2.10].
Het is de vraag of de daders lang konden profiteren van hun gestolen certificaten. De emissiecertificaten zijn genummerd en kunnen dus worden geïdentificeerd. Het internationale secretariaat van de UNFCCC kan grensoverschrijdende handel controleren en illegale transacties ongedaan maken. Maar de kans om op deze manier de buit van de cybercriminelen terug te krijgen is zeer klein. Om de schade te beperken, sloten talrijke Europese landen hun certificaatregister een paar dagen af, zodat er even geen transactieboekingen konden worden doorgevoerd.
|
Emissiecertificaten
Emissie is een bepaalde hoeveelheid uitstoot van gassen zoals koolstofdioxide die het klimaat negatief beïnvloeden. Emissiecertificaten zijn een middel om de uitstoot van schadelijke stoffen te beperken. Ze zijn bedoeld om nationale staten en ondernemingen te stimuleren om steeds minder emissies te veroorzaken — bijvoorbeeld door minder fossiele energiedragers te verbranden. Wie minder emissiecertificaten verbruikt dan zijn toegedeeld of werden ingekocht, kan zijn overtollige CO2-certificaten verkopen in een daarvoor speciaal ingericht handelssysteem, de energiebeurs EEX (European Energy Exchange). Nationale staten en ondernemingen die de atmosfeer sterker vervuilen dan hen eigenlijk is toegestaan, moet daarvoor aanvullende certificaten verwerven (en dus extra betalen).
Het doel van de EU is om de globale opwarming van de aarde te beperken tot 2 graden Celsius boven het pre-industriële niveaus. De EU wil de klimaatverandering beperken en voldoet aan haar verplichtingen onder het Kyoto Protocol. Elke lidstaat verleent haar CO2-uitstotende faciliteiten een bepaalde hoeveelheid emissierechten door middel van een Nationaal Allocatie Plan. Deze rechten kunnen net als andere waren op de markt worden verhandeld.
In 2009 was de marktprijs van 1 EUA (1 ton CO2) ongeveer € 12,5. In de 27 lidstaten werden meer dan 2 miljard EUA’s verdeeld aan 12.000 instellingen die CO2 uitstoten. De totale waarde van de CO2-markt van de EU wordt geschat op € 90 miljard per jaar.
|
Dit was geen incident. Op 9 december 2009 maakte Europol —het Europese samenwerkingsverband van de politiediensten— bekend dat de fraude op de handelsmarkt voor emissies in anderhalf jaar tijd een belastingverlies van € 5 miljard had veroorzaakt, vooral in Engeland, Frankrijk, Spanje, Denemarken en Nederland. Ook ondernemingen, elektriciteitsleveranciers en handelaren leden schade. Om verdere verliezen te voorkomen veranderden Frankrijk, Nederland, het Verenigd Koninkrijk en later ook Spanje hun belastingregels met betrekking tot deze transacties. Nadat deze maatregelen waren genomen daalde het marktvolume van deze landen met 90 procent. De grootschalige georganiseerde criminaliteit tast de geloofwaardigheid van het CO2-handelssysteem aan en leidt tot substantieel verlies van belastinginkomsten voor regeringen [Europol, 9.12.09; The Telegraph, 10.12.09].
Europese belastingfraude: de ontbrekende handelaar
Sinds de grenzen van de EU in 1992 voor vrije handel werden geopend, wordt er veel btw-fraude gepleegd. Het is onmogelijk om de omvang van het inkomstenverlies als gevolg van deze fraude te kwantificeren. De Europese Commissie schatte in 2010 dat de schade als gevolg van btw-fraude voor de lidstaten jaarlijks rond de €60 miljard bedraagt. Het Europese Caroussel Netwerk (Eurocanet, een project van de Europese Commissie in Brussel) schatte dat tussen juni 2005 en juni 2006 de gecombineerde verliezen van de vijf grootste lidstaten —Frankrijk, Duitsland, Italië, Spanje en het Verenigd Koningrijk— bijna €21 miljard bedroegen [Europol Review 2010:33]. Voor 2011 schat Europol de waarde van georganiseerde btw-fraude op €100 miljard per jaar. Het totale verlies van het bedrijfsleven wordt geschat op €750 miljard tot €1 triljoen.
Criminelen maken gebruik van de techniek van “Missing Trader Intra-Community Fraud” (MTIC). Ze kopen CO2-certificaten elders in Europa op waar de BTW lager is. Daarna worden de certificaten doorverkocht naar landen als Nederland en Engeland waar de BTW hoger is [CO2-krediet carroussel]. De criminelen steken het verschil in hun zak. Deze tactiek wordt vaker toegepast in de handel van mobiele goederen over Europese grenzen, zoals mobiele telefoons, computers, sigaretten en edele metalen.
De criminelen verspreiden hun activiteiten over meerdere lidstaten tegelijkertijd en zijn daardoor in staat om de verschillende eigenaardigheden en zwaktes van de nationale belastingsystemen te exploiteren en de werkelijke verbindingen tussen deelnemers te verbergen. De criminelen die het scenario opzetten en die verantwoordelijk zijn voor de belastingfraude —de ontbrekende handelaren— opereren slechts korte tijd, voordat zij van het toneel verdwijnen. “De fraudeschema’s zijn gebaseerd op virtuele of reële carroussel transacties waarbij dezelfde ‘goederen’ verschillende keren worden gekocht en verkocht“ [Europol Review 2009:32]. In vakkringen wordt dit btw-carrousselfraude genoemd.
De enige databank waarin MTIC-gerelateerde criminele informatie wordt opgeslagen is de Europol Analysis Work File on Missing Trader Intra-Community Fraud. Europol houdt de btw-fraude nauwkeurig in de gaten en probeert de daders op te sporen.
|
Operatie TulipBox
In de strijd tegen fraude met emissiecertificaten worden soms kleine successen behaald. Ondersteund door Europol vielen op 19 augustus 2009 agenten de Britse belastingdienst (HMRC) 27 locaties binnen: 24 in het Verenigd Koninkrijk en 3 in Nieuw Zeeland. Daarbij werden 9 mensen gearresteerd en ongeveer €3 miljoen in beslag genomen dat geparkeerd stond op een bank in Nieuw Zeeland. De arrestanten waren lid van een crimineel netwerk dat zich gespecialiseerd had in CO2-kredietfraude. In heel Europa werden in 2010 invallen gedaan in honderd kantoren en werden meer dan 100 mensen gearresteerd [Europol, 9.12.10].
|
Cybercriminelen hebben hun activiteiten in snel tempo uitgebreid naar de milieu- en energiemarkten. De fraude met CO2-certificaten (ook wel CO2-kredietfraude genoemd) indiceerde slechts het omslagpunt. De btw-fraude fraude tast niet alleen de financiële belangen van de Europese gemeenschap aan, maar heeft ook gevolgen voor legale ondernemingen die niet op niveau kunnen concurreren in sectoren die door btw-fraude zijn gecorrumpeerd. Zij moeten opereren op een gemanipuleerd speelveld waarin clandestiene en criminele ondernemingen worden bevoordeeld
Tegen het einde van het eerste decennium van de 21ste eeuw werd cybercriminaliteit een prioriteit op de Europese agenda en dus voor Europol. Met haar High Tech Crime Centre ondersteunt Europol lidstaten in de algemene strijd tegen georganiseerde cybercriminaliteit. In 2009 werd het Europol Cyber Crime Platform (ECCP) opgericht. Dit platform fungeert als meldpunt waar lidstaten internetgerelateerde vormen van criminaliteit kunnen rapporteren: Internet Crime Reporting Online System (i-CROS). Het ECCP probeert cybercriminele groepen te identificeren, op te sporen en te ontmantelen. Via haar forensisch expertise platform (i-FOREX) wordt geïnformeerd over best practices en worden agenten getraind in het rechercheren van cybercriminele activiteiten en het opsporen van daders.
|
Bedreiging van veiligheid van EU
“Grootschalige criminele en terroristische netwerken vormen een significante bedreiging van de interne veiligheid van de EU en van de veiligheid en het levensonderhoud van haar burgers. De grootste veiligheidsdreigingen komen van terrorisme, internationale drugshandel, mensenhandel, vervalsing van euro valuta en betaalkaarten, fraude, corruptie en witwassen van zwart geld alsmede andere activiteiten die verbonden zijn aan de aanwezigheid van georganiseerde criminele groepen in de economie. Er stapelen zich ook nieuwe gevaren op in de vorm van cybercriminaliteit, btw-fraude en andere gewiekste misdaden die moderne technologie misbruiken en de vrijheden die door de internet Europese markt wordt geboden” [Europol Review, 2009].
Alle typen van georganiseerde criminaliteit gebruikt het internet als communicatiemedium, informatiebron, marktplaats, rekruteringsveld en financiële dienst. Het demografisch profiel van de moderne cybercrimineel is: jong, zeer vaardige individuen die vaak van universiteiten worden gerekruteerd [Europol, OCTA 2011].
Zowel in de virtuele als in de lokale wereld worden de meeste criminele activiteiten geïnitieerd door individuen of kleine groepen. Phil Williams spreekt in dit verband over «disorganized crime».
|
NASDAQ — Beurzen kraken
In oktober 2010 ontdekte de FBI dat hackers hadden ingebroken op de aandelenbeurs van Nasdaq. Het was een zeer gekwalificeerde inbraak waarbij complexe en verraderlijke malware werd geïnfecteerd in de centrale servers van het bedrijf. Alles wees erop dat dit geen kinderwerk was, maar het werk van een inlichtingendienst van een ander land. De hackers maakten gebruik van twee zero-day lekken waardoor zij gemakkelijk in staat waren om op afstand de controle over een computer over te nemen. In de malware was een aanvalscode ingebouwd die ontworpen was om schade te veroorzaken. Hoewel de malware gebruikt kon worden om gegevens te stelen, was er dus ook een functie ingebouwd om een heel computernetwerk volledig te ontregelen.
Nasdaq is een typische schermenbeurs: de handel verloopt volledig computergestuurd. Bij een zo belangrijk financieel systeem als de Nasdaq verwacht men dat de computersystemen uiterst nauwkeurig en op het hoogste niveau zijn beveiligd — als een cyber Fort Knox. Onderzoek van de FBI wees echter uit dat de beveiligingspraktijken van Nasdaq OMX Group verbazingwekkend nonchalant waren waardoor de beurs een gemakkelijk doelwit werd voor hackers [Huffington Post, 18.11.11].
|
Directors Desk is een programma dat door Nasdaq zelf verkocht wordt aan bedrijfsdirecties. Zij kocht het programma in 2007 van een bedrijf in Washington. Het programma wordt gepresenteerd als uiterst veilig omdat het gebruik zou maken van zeer sterke technologie voor dataprotectie. Het programma is inmiddels ook gratis beschikbaar als IPad app.
|
Om vertrouwelijke informatie te delen maakte de directie gebruik van het softwareprogramma Directors Desk. De basisarchitectuur van het computersysteem van Nasdaq was bestendig tegen hackers. Maar sommige computers werkten met verouderde software, met slecht geconfigureerde firewalls en niet geïnstalleerde beveiligingsupdates. Al langer bekende veiligheidslekken die door hackers geëxploiteerd kunnen worden, werden niet gerepareerd [Reuters, 18.11.11].
Voor dergelijke belangrijke financiële systemen is zo’n gebrek aan cyberhygiëne meer dan opmerkelijk. Nasdaq spendeert jaarlijks bijna een miljard dollar aan informatiebeveiliging. Wereldwijd werken er maar liefst 1.000 mensen aan de informatietechnologie van Nasdaq en 10 bedrijven adviseren haar over beveiligingskwesties, inclusief een belangrijke Amerikaanse defensieaannemer. Maar zij waren samen niet in staat om te achterhalen hoelang de kwaadaardige software al in het netwerk van Nasdaq werkzaam was voordat het werd ontdekt.
Nasdaq verklaarde dat haar handelsplatforms niet door de hackers waren gecompromitteerd en dat zij alleen het programma Directors Desk waren binnengekomen. Maar door dit programma te infecteren kregen de hackers toegang tot vertrouwelijke documenten en tot de communicatie tussen directieleden. Zij kregen ook toegang tot gegevens van beursgenoteerde bedrijven [Reuters, 20.10.11].
Het is een voorbeeld van een getrapte aanval (blended attack) waarbij hackers een doelwit infiltreren om toegang tot andere computersystemen te vergemakkelijken. Het is vergelijkbaar met de aanval op de RSA beveiligingsafdeling waarbij digitale beveiligingssleutels werden gestolen die later werden gebruikt om in te breken op de netwerken van militaire eenheden, inlichtingendiensten en wapenproducenten (zoals Lockheed Martin).
Het feit dat ook de NSA werd ingeschakeld om de cyberaanval op Nasdaq te onderzoeken, wijst erop dat de aanval ernstiger was dan Nasdaq wilde toegeven. Het vermoeden was dat er een nationale staat bij betrokken was of een buitengewoon capabele criminele organisatie. Nader onderzoek liet zien dat er zelfs sporen waren van meerdere uiteenlopende groepen die al jaren lang clandestien in de netwerken van Nasdaq opereerden [Bloomberg, 30.3.11; Wired, 30.3.11].
In januari 2011 concludeerde de NSA dat de ingebouwde digitale bom in staat was om de hele beurs weg te vagen en dat deze bom geplaatst zou zijn door Russische elitehackers. Maar in tegenstelling tot een bom of een raket kan kwaadaardige software worden hergebruikt. Daarna vond de NSA bewijzen dat de Russische malware gebruikt werd door een hooggekwalificeerde Chinese cyberspion die daarmee zijn identiteit probeerde te verbergen. Toen uiteindelijk ook de CIA zich in het onderzoek mengde werd de theorie van de inbraak nogmaals gewijzigd: het zou een zeer uitgebreide vorm van cybermisdaad zijn die vooral gericht was op het stelen van Nasdaq’s meest kritische technologie [Bloomberg, 17.7.14].
De financiële dienstensector verliezen jaarlijks honderden miljoenen dollars aan hackers [Reuters, 20.10.11]. De cyberaanvallen op financiële instellingen worden steeds geraffineerder en destructiever. In Amerika spannen FBI en NSA (National Security Agency) zich in om de financiële netwerken tegen verdere cyberaanvallen te beschermen. Maar het is nog steeds een ongelijke strijd. Ondanks alle defensieve inspanningen vertonen de financiële netwerken nog steeds enorme kwetsbaarheden voor een groeiend aantal steeds destructiever cyberaanvallen.
|
Digital Tornado, een blokkade-actie
Op 14.2.2012 werden de websites van technologiebeurs Nasdaq, BATS Stock Exchange en de Miami Stock Exchange aangevallen waardoor zij lange tijd niet toegankelijk waren. De toegang tot de sites werd geblokkeerd door een DDoS-aanval, de aandelenhandel zelf werd niet verstoord [Huffington Post, 14.2.12].
De DDoS-aanval op de aandelenbeurzen werd opgeëist door hacktivisten (of een hacktivist) die zich de
L0NGwave99 Group noemen [The Guardian, 14.2.12]. In een warrige verklaring werd gezegd dat hun operatie Digital Tornado gericht was tegen het gevaarlijke “kapitalisme van de liberale democratie”. De hackers wilden met hun actie de Occupy-beweging ondersteunen.
|
Flitshandel en beursmanipulatie
Aan de wieg van de huidige kredietcrisis stond de handel in onbegrijpelijke kredietproducten. Hoewel we nog druk bezig zijn om de gevolgen van die crisis te boven te komen, lijkt de volgende crisis al in de maak: een systeemcrisis die veroorzaakt wordt door de geautomatiseerde flitshandel.
|
«High frequency traders» zijn handelshuizen die met behulp van computeralgoritmen geautomatiseerd en razendsnel in effecten en derivaten handelen. In Europa maken zij al 50% van de beurshandel uit.
|
De flitshandel op de beurs is een bedreiging voor de stabiliteit van de financiële markten en is voor toezichthouders nauwelijks meer te volgen. De high frequency trade (HFT) zou wel eens een nieuwe financiële crisis kunnen veroorzaken. We hebben daarvan al een paar voortekenen gezien.
Door de sterke stijging van het aantal beurstransacties is het verschil tussen aan- en verkoopprijs van aandelen en derivaten aanzienlijk kleiner geworden. Flitshandelaren echter zijn niet geïnteresseerd in de waarde van aandelen of derivaten. Zij kopen en verkopen ze immers niet om er een aandelenpositie mee op te bouwen zoals de institutionele beleggers doen. De «belegging» in kredietproducten duurt slechts een paar seconden (en vaak zelfs veel korter). Er wordt alleen maar gehandeld in het minieme verschil tussen de aan- en verkoopprijs. Door dit extreem snel en vaak te doen kunnen gigantische winsten worden gemaakt.
|
Ieder zijn eigen algoritme
Op de beursvloer zien we geen schreeuwende handelaren meer staan die elkaar smoezelige briefjes toestoppen met de hoeveelheid aandelen die zij willen kopen of verkopen. Dat werk is grotendeels overgenomen door computers. De helft van de effectenorders in Europa wordt tegenwoordig door computers uitgevoerd — in de VS is dat al 70%. Flitshandel wordt aangestuurd door supercomputers die bliksemsnel op marktorders reageren nog vóór die orders op andere beeldschermen zichtbaar zijn.
De kunst is om daarvoor programma’s te schrijven die de concurrentie te slim en vooral te snel af is. Dat zijn programma’s die in fracties van milliseconden allerlei handelsstrategieën op de beurs kunnen doorrekenen. Met behulp van zeer geavanceerde wiskundige formules (algoritmes) maken deze softwarerobots op grond van alle actuele beursinformatie supersnelle beslissingen om aandelen en derivaten te kopen of te verkopen.
Om optimaal gebruik te kunnen maken van minimale verschillen tussen bied- en laatkoers worden die computers zo dicht mogelijk bij de beurscomputers geplaatst die de transacties verwerken. Hoe langer de glasvezelkabel hoe meer nanoseconden de signalen onderweg zijn. Daarom worden de supercomputers van de flitshandelaren fysiek zo dicht mogelijk bij de beurscomputers geplaatst. ‘Tijd is geld’, In dit geval zijn zelfs fracties van milliseconden— heel veel geld waard.
Beursalgoritmes zijn in wiskundige formules vastgelegde handelspatronen. De algoritmes die op de computers van flitshandelaren draaien zijn wiskundig zeer complex. Ze zijn niet in real time zichtbaar en zijn moeilijk te ontrafelen.
“Iedereen op de financiële markt maakt gebruik van computers, maar de wijze waarop de algoritmes worden ingezet verschilt per partij. Institutionele beleggers gebruiken «agency» algoritmes. Ze moeten bepaalde posities innemen en willen dat zo efficiënt en slim mogelijk doen. Dus niet in een keer één grote partij op één beurs aanbieden, maar spreiden in tijd en over meerdere platforms, zodat de beste prijs kan worden bedongen. Het zijn feitelijk geautomatiseerde handelsstrategieën. Daarnaast heb je de flitshandel die gebruik maakt van «proprietary» algoritmes. Dan praat je eigenlijk over geautomatiseerde hoekmannen: computers die een prijs in de markt leggen, maar dan met een ongelooflijk hoge snelheid en frequentie. De flitshandel heeft geen natuurlijke interesse in de markt, maar gebruikt de algoritmes om razendsnel in te spelen op extreem kleine prijsverschillen in de markt en zo geld te verdienen” [Menkveld 2012].
Het risico van flitshandel is dat alle algoritmes op een bepaald moment hetzelfde gaan doen. De algoritmes reageren dan alleen nog maar op elkaar in plaats van op nieuwe relevante informatie over een aardbeving in China, een dreigend failliet van de Griekse overheid of een oorlog met Iran. Bij snel vallende koersen heeft de flitshandel een versterkend effect (het sneeuwbaleffect). Hierdoor kan een flitscrach ontstaan die razendsnel op een regelrechte systeemcrisis kan uitlopen.
|
Flitshandelaren kunnen de handel op beurzen manipuleren. Door op het ene moemnt heel veel verkooporders te geven en die een microseconde later weer in te trekken kunnen de aandelenprijzen worden gemanipuleerd. Omdat zo snel gaat is de particuliere belegger per definitie de klos — zij zijn altijd te laat. Institutionele beleggers zoals pensioenfondsen zijn geen partij voor de snelle algoritmen waarmee flitshandelaren de koersbewegingen naar hun hand zetten.
De onderlinge concurrentie tussen flitshandelaren verschuift steeds meer naar een technologische race wie er op de beurs het snelste kan reageren. Steeds meer inkomsten worden gegenereerd door het verkopen van transactiegegevens aan de algoritmehandelaren.
|
Vormen van beursmanipulatie
De meest elementaire vorm van beursmanipulatie is uitlokking. Een belegger ziet dat er een vraag naar miljoenen goedkope aandelen van een bepaald fonds is en besluit ook te kopen. Als hij dat gedaan heeft worden de grote aankooporders plotseling ingetrokken en de koers zakt weer terug. De particuliere belegger heeft hierdoor te veel betaald.
Bij de duurdere aandelen gebeurt precies het tegenovergestelde. Orders van particulieren worden eerst overtroefd door kleine aankooporders die milliseconden vóór de particuliere order worden geplaatst. Omdat zijn order niet wordt uitgevoerd besluit de particuliere belegger dat hij wel iets meer wil betalen. Hij verhoogt zijn aankooplimiet en krijgt nu ineens wel zijn aandelen. Door deze manipulatie van de koersvorming wordt de particuliere belegger uitgelokt om zijn verkoopprijs te verhogen en betaald uiteindelijk een te hoge prijs voor zijn aandeel.
Flitshandelaren kunnen financiële markten manipuleren zonder dat de toezichthouder dit ziet. Marktmisbruik kent vele varianten en de beursbengels dit als een opwindend spelletje. Vlak voor het sluiten van de beurs een order inleggen om een reactie bij een ander algoritme op te roepen om dan binnen een fractie van een seconde de order weer in te trekken: kassa!
|
Beperking van risico’s door snelheidslimieten?
Nationale overheden en supranationale organen maken zich —terecht— zorgen over de ongecontroleerde macht van het moderne flitskapitaal. Zij beschouwen de flitshandel op de beurzen als een potentiële bedreiging voor de stabiliteit van de financiële markten. De vraag is óf en zo ja hoé dit risico gecontroleerd kan worden.
Een verbod op het gebruik van computertechnologie is onzinnig en onuitvoerbaar. Het zou alle voordelen van de automatisering (efficiëntere markten en lagere transactiekosten) teniet doen. Hetzelfde geldt voor voorstellen om de frequentie waarmee prijzen worden vastgesteld te verlagen. Een algemeen speculatieverbod botst frontaal op de kapitalistische logica die de leidraad is voor het politiek handelen van regeringsleiders. En politici die nog wel in staat zijn om een onderscheid te maken tussen de kapitalistische en speculantenlogica zijn dun gezaaid.
Een verbod op het gebruik van computertechnologie is onzinnig en onuitvoerbaar. Het zou alle voordelen van de automatisering (efficiëntere markten en lagere transactiekosten) teniet doen. Hetzelfde geldt voor voorstellen om de frequentie waarmee prijzen worden vastgesteld te verlagen. Een algemeen speculatieverbod botst op de kapitalistische logica die de leidraad is voor het politiek handelen van regeringsleiders.
De populairste remedie is het beperken van de snelheid van de aandelenhandel door het instellen van een snelheidslimiet. Op 24 september 2012 presenteerde de Europese Commissie een aantal maatregelen om de flitshandel op de beurs aan banden te leggen. De belangrijkste maatregel is het beperken van de beurssnelheid tot een halve seconde (500 milliseconde). Ten opzichte van de huidige snelheid (0,05 milliseconde per transactie) zou dit een enorme vertraging betekenen. De transacties op de beurzen zouden door dit voorstel duizend keer trager verlopen dan nu het geval is.
Het gevolg van dit voorstel zou zijn dat orders minstens een halve seconde in het ‘orderboek’ van de beurs moeten blijven staan voordat ze kunnen worden geannuleerd of gemodificeerd. Voor flitshandelaren als Optiver, IMC en Flow Traders is dit een eeuwigheid. Zij beschouwen dit als een ongehoorde interventie in hun manier van zaken doen. Als zij verplicht zouden worden om hun orders voor 500 milliseconden in te leggen zonder dat zij deze tussentijds mogen veranderen, dan lopen zij enorme risico’s. “Je legt in die tijd als het ware je portemonnee op tafel. Dat willen we niet”, aldus een woordvoerder van de lobbyorganisatie FIA [Volkskrant, 17.10.12].
Beursbengels en hun lobbyisten
Michael Douglas als Gordon Gekko in de film Wall Street (1987): “Greed is Good.”
|
|---|
Nederland heeft een aantal flitskapitalisten die in de wereldtop meedraaien. Rijk geworden van hun flitshandel leveren zij steeds meer leden van de Quote-500 club. Optiver is een van de hofleveranciers van deze club: Jan Dobber. Johann Kaemingk, Chris Oomen, Ruud Vlek en Leo van den Berg [Quote, 23.4.12; Quoate, 15.11.10].
De flitshandelaren hebben hun eigen Europese lobbyclub opgericht. De European Principal Traders Association (EPTA) —dochter van de Amerikaanse lobbyvereniging FIA— verweert zich tegen het verwijt dat hun manier van handelen zorgt voor flitscrashes en andere systeemrisico’s. Beursbengels houden niet van regelgeving. Het beperkt hun gokverslaving en roomt hun speculatie-winsten af [Quote, 19.8.11]. Zij voelen zich diep beledigd en verwerpen alle kritiek als ongefundeerde roddelpraat (aldus EPTA-baas Remco Lenteman, voorheen werkzaam bij Goldman Sach).
![]()
Geld stinkt niet (Pecunia non olet), vinden de flitskapitalisten, en hebzucht is goed. Hoe aantrekkelijk het is om flitshandelaar te zijn, maakte Optiver duidelijk in een video waarmee men nieuw personeel probeert te rekruteren. Op het YouTube-kanaal van Optiver is die video inmiddels verdwenen, maar het plaatje maakt duidelijk wat de boodschap was.
|
Flitshandelaren stellen alles in het werk om de snelheid van hun beursoperaties nog verder op te voeren. Zij investeren zwaar in de aanleg van nieuwe, nog snellere onderzeese glasvezelkabels die de beurzen van Tokyo, Londen en New York met elkaar verbinden. Hierdoor zal in 2014 de overdracht van een opdracht tussen de beurs van Tokyo en Londen 62 milliseconde korter duren dan de 230 milliseconden die daar nu nog voor nodig zijn. Medio 2011 kondige het in Londen gevestigde bedrijf Fixnetix aan dat zij de allersnelste handelsapplicatie had gemaakt: een microchip die een transactie in 740 miljardste seconde kan uitvoeren. Je kunt niet meer zeggen dat transacties zich in een oogwenk voltrekken: een oogwenk heeft honderden miljoenen nanoseconden nodig. Voor sommige flitshandelaren zijn zelfs nanoseconden nog te traag. Zij spreken al over picoseconden — een triljoenste van een seconde [Wall Street Journal, 14.6.11; Gay/Yao/Ye 2012].
De toezichthouders op de beurzen hebben steeds minder zicht en dus grip op de geautomatiseerde markten van aandelen en derivaten. Ze lopen achter op het gebied van automatisering en moeten steeds meer it-ers aantrekken om een bij te blijven. Ze hebben goede automatische detectie- en analysesystemen nodig die uit alle data opvallende of verdachte orders en koersbewegingen te destilleren [Cooper/Van Vliet 2012]. Toezichthouders moeten niet alleen meer inzicht krijgen in de nieuwe ecologie van de gecomputeriseerde markten, maar ook hun internationale samenwerking te versterken. Het komt niet zelden voor dat flitshandelaren op de ene markt een crash veroorzaken om daarop in een andere markt te speculeren.
De AFM (Autoriteit Financiële Markten) is de waakhond van de Nederlandse financiële markten. Zij moet toezicht houden op het gedrag van alle partijen die op de financiële markten opereren: financiële dienstverleners, beurzen, bemiddelaars en accountants. De AFM moet erop toezien dat deze partijen correct handelen en hun partners van de juiste informatie voorzien. De vraag is echter of de AFM voldoende is uitgerust om de patronen van de flitshandel te herkennen en bij verdachte koersbewegingen snel genoeg kan ingrijpen.
De AFM houdt toezicht op alle orderdata van de AEX (Amsterdam Exchange Index).
De AEX geeft het beeld van de koersontwikkeling van de 25 aandelen met de grootste marktkapitalisatie op de Amsterdamse effectenbeurs. Technisch gezien is de AFM wel in staat om alle microbewegingen op deze beurs te reconstrueren. Maar zij heeft geen continu beeld van de flitsorders die over de gedigitaliseerde beursvloer vliegen. Als er verdachte koersbewegingen worden geconstateerd, is zij ook niet in staat om de identiteit te achterhalen van de handelaren die de flitsorders hebben geplaatst. De AFM beschikt niet over dezelfde algoritmische technologie als degenen waarop zij toezicht moeten houden. Maar ook de AFM heeft geen behoefte aan het Europese voorstel een tijdslimiet in te voeren om de risico’s die aan de flitshandel verbonden zijn te beteugelen. Sommige critici zeggen dat de AFM een waakhond van de beurs moet blijven en geen schoothondje van flitskapitalisten.
|
Snelheidsbeperking en noodrem: hoe effectief?
Een snelheidsbeperking voor beurstransactie heeft verschillende voor- en nadelen, Op korte termijn zou een snelheidslimiet voor de beurshandel enig soelaas kunnen bieden voor de achterstand die toezichthouders hebben op de zeer moeilijk te controleren machinaties van de flitshandelaren. Maar hogere snelheid betekent een efficiëntere markt en lage transactiekosten. Het instellen van een snelheidslimiet kan ertoe leiden dat de handel zich verplaatst naar alternatieve platforms waarop helemaal geen toezicht wordt gehouden.
De Europese Unie wil de risico’s van de flitshandel beperken door op de rem te gaan staan. Maar de ziel van het flitskapitaal is juist gelegen in de enorme snelheid waarmee zijn robots op de internationale effectenmarkten opereren. Fast trade en snelheidslimieten zijn onverenigbaar.
Een andere manier om de ontregelende kracht van het flitskapitaal te beperken is het inbouwen van betere circuit breakers die de handel stilleggen als er problemen worden geconstateerd. Met zo’n noodrem kan de schade worden beperkt, maar niet voorkomen.
De ironie wil dat de drukfout waar Google het slachtoffer van werd, gemaakt werd door een drukkerij die de financiële teksten van Google verzorgt.
|
Dat bleek toen op 18 oktober 2012 het aandeel van Google op de Nasdaq in 8 minuten 9 procent van haar waarde verloor. Door een fout van de ‘filing agent’ van Google verscheen het kwartaalbericht vroeger dan de bedoeling was op de website van de beursautoriteit SEC (Securities and Exchange Commission). De agent had al voor het sluiten van de beurs op de verzendknop gedrukt. Het was een klassieke drukfout met grote gevolgen. Slechts 360 seconden na deze drukfout was Google tientallen miljarden minder waard geworden. Pas 21 minuten later werd er aan de noodrem getrokken en werd de handel stilgelegd.
Een aantal grote flitshandelaren hadden zich al een paar minuten vóór de koersval van Google uit de markt teruggetrokken. Hierdoor ontstond een groter verschil tussen aan- en verkoopprijs. De computeralgoritmes reageerden daarop met een snel spervuur van ingetrokken kooporders [Bloomberg, 18.10.12]. Er werd pas aan de noodrem getrokken nadat het flitskapitaal haar schaapjes op het droge had. De algoritmische snelhandel trok aan het langste eind.
|
Voor particuliere beleggers is de effectenhandel inmiddels steeds ondoorzichtiger geworden. Maar zelfs voor de AFM is de effectenhandel inmiddels zo ingewikkeld dat het bijna onmogelijk is om daarop goed toezicht te houden. Dat komt niet alleen door de computergestuurde manipulaties van beurskoersen, maar ook omdat er op steeds meer plaatsen wordt gehandeld. Slechts de helft van de gebeurt op ‘gewone beurzen’ zoals Euronext. Inmiddels gaat 40% van de handel naar alternatieve, volledig geautomatiseerde platforms zoals Bats, Chi-X, Turquoise en Tom. Door hun lagere transactiekosten bieden deze platforms uitgelezen winstkansen voor oncontroleerbare flitshandel. Zij bieden tegelijkertijd ideale omstandigheden voor criminele beursmanipulaties.
Ontregeling van financiële markten
De georganiseerde criminaliteit is niet meer beperkt tot een aantal steden en een paar criminele markten. Vandaag de dag zijn criminele ondernemingen niet geënt op het model van de Siciliaanse maffia. Het zijn uiterst kapitaalkrachtige netwerken die opereren in alle haarvaten van de geglobaliseerde samenleving. Zij penetreren in nationale en multinationale ondernemingen, verstoren markten, corrumperen regeringen en persen daarbij enorme rijkdommen af. Zij worden van brandstof voorzien door dezelfde globaliseringskachten die productie en handel, communicatie en informatie wereldwijd hebben uitgebreid. “Criminele syndicaten hebben niet alleen een ongekende invloed op het leven van gewone mensen, maar hebben het concurrentievermogen van multinationale ondernemingen en de veiligheid van overheden wereldwijd ondermijnd” [World Economc Forum 2011].
Criminele netwerken zijn multinationaal in bereik waardoor hun impact groter is dan ooit te voren. Criminele organisaties zijn de meest ondernemende en lenige elementen van de globale economie. Ze zijn bijzonder behendig is het exploiteren van zwakke instituties en fragiele staten. Zelfs in de meest geavanceerde economieën is hun invloed zeer vergaand. In een verklaring van het World Economic Forum werd dit pijnlijk adequaat onder woorden gebracht.
“Georganiseerde misdaad penetreert in de financiële markten van Hong Kong, de banken van Japan en de bouwindustrie in New York aan. Georganiseerde misdaad ontmoedigt investeringen in Mexico en Afghanistan, en verstikt de reconstructie van veel post-conflict samenlevingen zoals Sierra Leone en de Democratische Republiek Congo. Het stimuleert corruptie, clandestiene handel en illegale migratie, ondermijnt het milieu en de mensenrechten, en draagt bij aan de uitputting van natuurlijk bronnen. Naarmate de wereld in sterker interdependent wordt, zullen criminele organisaties zich blijven uitbreiden en aanpassen. De opkomst van nieuwe machten zoals China, India en Brazilië stelt het vermogen van de wereld op de proef om de verspreiding van geraffineerde criminele syndicaten te beperken” [World Economc Forum 2011].
In 2011 waagde de UNODC (United Nations Office on Drugs and Crime) zich aan een eerste globale schatting van transnationaal georganiseerde criminaliteit. Zij schatte de clandestiene stromen die verbonden zijn aan misdaadsyndicaten op $ 125 miljard per jaar. Daarvan wordt 85% toegerekend aan de handel in illegale drugs.
Natuurlijk zijn dergelijke getallen niet meer dan schattingen. Maar zelfs in de meest conservatieve schattingen zijn de criminele inkomsten gigantisch groot. Bovendien zijn dit alleen nog maar de directe kosten. De indirecte kosten zijn aanzienlijk hoger. Dat zijn kosten in de vorm van instabiliteit, geweld en verwondingen, menselijke gezondheid, schoonmaken van milieu, en een gemanipuleerd speelveld dat clandestiene ondernemingen bevoordeelt.
Over miljoenen illegale transacties per dag wordt geen belasting geheven. Dat geldt voor illegale banktransacties tot aan het smokkelen van imitatie goederen (schoenen, tassen en medicijnen) en verhandelen van intellectueel eigendom. Overheden die zich inzetten om de sociale voorzieningen nog een beetje overeind te houden verliezen nog eens vele miljarden extra door belastingontduiking en het witwassen van zwart geld. Al deze niet-verkregen belastinginkomsten hebben directe gevolgen voor de belastingbetaler.
|
Insiders
Op 24 januari 2009 maakt de Franse bank Société Général bekend dat het was getroffen door een van de grootste fraudes in de geschiedenis van de banken. De fraude van een van haar handelaren geleid had tot een verlies van € 4,9 miljard.
Effectenhandelaar Jérôme Kerviel had door ongeoorloofde speculaties op de futuremarkt zijn bank met grote verliezen opgezadeld. Aanvankelijk werkte hij op een controle-afdeling van de bank. Hij maakte misbruik van zijn kennis van de beveiligingssystemen van de bank om zijn sporen te verbergen via een serie fictieve transacties. Door interne controles te ontwijken kon hij zijn zware verliezen lange tijd verbergen.
|
De huidige economische crisis stimuleert de verspreiding van georganiseerde criminaliteit. Door stijgende werkloosheid neemt het aantal mensen dat zich van de samenleving voelt uitgesloten toe en worden inspanningen om immigranten en gemarginaliseerde groepen te integreren belemmerd. “Een toenemend aantal werkloze en gefrustreerde jongeren is vatbaar voor rekrutering door straatbendes, georganiseerde misdaadsyndicaten of terroristische groepen” [World Economc Forum 2011]. Mensen die ondanks hun gereduceerde koopkracht hun leefstijl proberen te handhaven, zijn eerder geneigd om gebruik te maken van clandestiene diensten of om gesmokkelde imitatieproducten te kopen. Hierdoor neemt de vraag naar dergelijke illegale producten en diensten verder toe.
Bovendien maakt de economische crisis bonafide opererende ondernemers meer geneigd (of gedwongen) om compromissen te sluiten, waardoor criminele groepen nog verder in het economisch stelsel kunnen infiltreren.
De beurzen zijn een eldorado geworden voor individuele en georganiseerde cybercriminelen, maar ook voor cyberterroristen en nationale staten die vijandige staten proberen te verzwakken door hun financiële stelsel met cyberoperaties te ontregelen. De netwerken van de beurzen zijn in steeds sterkere mate afhankelijk geworden van informatietechnologie. Die informatietechnologie wordt door externe ondernemingen ontwikkeld, ondersteund en onderhouden. Maar het is nooit helemaal duidelijk welke achterliggende belangen deze it-bedrijven hebben en hoe daar de eigen beveiliging is geregeld.
De beveiligingsafdelingen van beurzen en banken worden geconfronteerd met een toenemend aantal hooggekwalificeerde en gerichte cyberaanvallen. De meeste experts zijn het erover eens dat zij daartegen slechts weinig kunnen inbrengen. Dit betekent dat de financiële markten nog lange tijd kwetsbaar zullen zijn voor cyberaanvallen. Sommige cyberaanvallers hebben voldoende expertise in huis om onopvallend in beurzen te penetreren en kunnen daar voor langere tijd ongedetecteerd hun werk doen. Daarbij kunnen met minimale inspanning en verwaarloosbare risico’s fantastische winsten worden behaald.
|
Slecht voorbereid
Het adviesbureau KPMG onderzocht de frequentie van cyberaanvallen op Nederlandse bedrijven en instellingen. Uit de enquête onder ruim 170 bestuurder bleek dat de helft van de Nederlandse bedrijven en instellingen in 2011 het slachtoffer was van een cyberaanval. Bij ruim 60 procent beperkte de schade zich jaarlijks tot een bedrag van 100.000 euro. Bij ruim 10 procent overstijgt de schade een bedrag van 1,5 miljoen euro. Slechts één op de vijf acht zichzelf in staat om zo’n aanval met succes te kunnen afslaan. Daaruit is maar een conclusie te trekken: Nederlandse bedrijven en instellingen zijn slecht voorbereid op cyberaanvallen.
De financiële sector is het meest populaire doelwit. Hier vindt 75 procent van de cyberaanvallen plaats. Om toegang te krijgen tot computersystemen maken de cybercriminelen vooral gebruik van lokmails (phishing). “Cybermisdaad is al lang niet meer het terrein van amateurs: de aanvallen komen ook vanuit de georganiseerde misdaad. daarbij gaat het niet
alleen om geld, maar ook om spionage en verstoring van
belangrijke processen (en daarmee van ondernemingen
en/of publieke diensten)” [KPMG]
De werkelijke omvang van cybercriminaliteit is uiteraard moeilijk te achterhalen omdat de detectieprocedures lang niet alles in kaart brengen.
|
Voor gekwalificeerde en goed uitgeruste criminelen zijn de beurzen en banken een interessant werkgebied. Maar ook voor nationale staten zijn de financiële markten en instellingen een aantrekkelijk operatieveld. Zij beschikken over voldoende middelen, gekwalificeerde mensen en de lange adem die nodig is om beursmanipulaties op lange termijn geduldig en planmatig te realiseren.
Bij beursmanipulaties door nationale staten is monetair gewin meestal niet het belangrijkste doel. Door een cyberaanval op beurzen proberen zij de hele economie van een andere staat ernstige schade toe te brengen. Als men weet op welke gevoelige strategische punten een financieel stelsel moet aanvallen en als men op het juiste tijdstip de verkeerde signalen geeft, dan kunnen al wankelende staten en hun economische systemen in diepe afgronden worden gestort.
“Voor moderne maatschappijen is de manipulatie van de beurzen misschien het grootste probleem van de nieuwe cyberveiligheidssituatie. De beurzen kunnen niet meer als betrouwbaar worden opgevat. Zij moeten als chronisch gecompromitteerd en ondergraven worden gezien” [Gacken 2012:143]. Dan dringt zich de vraag op in hoeverre beurzen nog wel een geschikt instrument zijn voor de internationale handel.
|
Een wereld zonder geld?
Een elektronische diefstal van honderden miljoenen euro’s is natuurlijk geen sinecure. Maar het valt in het niet als men dit vergelijkt met andere mogelijke scenario’s zoals een aanslag op de glasvezel netwerken waarop de financiële instellingen in de wereld draaien. Wat zou er gebeuren als aanvallers erin zouden slagen om de technische infrastructuur van het hele internationale bank- en beurssysteem te ontregelen of te vernietigen?
Geld is tegenwoordig een digitaal opgeslagen getal dat gekoppeld is aan een digitaal opgeslagen rekeningnummer van een persoon of instelling. Als er geknoeid wordt met die digitale gegevens, of als zij worden vernietigd, dan zou praktisch de gehele (monetaire) rijkdom op aarde verdampen. Niemand zou meer in staat zijn om geld van zijn bank te halen of naar een andere rekening over te schrijven.
|
Specialisering en professionalisering van cybercriminaliteit
|
Cybercriminele organisatie |
|---|
Evolutie: specialisering en professionalisering
Cybercriminelen zijn louter uit op korte-termijn winst. Ze zijn de parasieten van commerciële systemen en netwerken. Ze proberen op illegale wijze voordeel te halen uit het cybertijdperk zonder hun slachtoffers te doden of te kwetsen. Ze slaan toe waar het geld is, grijpen wat ze kunnen en poetsen zo snel mogelijk de plaat.
De methodieken die cybercriminelen gebruiken zijn in snel tempo uitgebreid en verfijnd. Ondanks alle investeringen in betere computerbeveiliging slagen cybercriminelen er telkens weer in om in te breken in digitale circuits waarin geld een rol speelt. Zolang de kans op illegale winst groter lijkt dan het risico om gesnapt en bestraft te worden, zullen cybercriminelen steeds creatiever en professioneler worden. Ook cybercriminelen staan onder druk om te innoveren. Wie het meeste geld weet te stelen, heeft ook de middelen om nieuwe inbraak- en oplichtingstechnieken te ontwikkelen, om nieuwe kansen die zich voordoen te benutten, en om nieuwe slachtoffers te vinden.
Naarmate cybercriminaliteit volwassen wordt adopteren slimme criminelen conventionele benaderingen van bedrijfsvoering: van supermarktachtige prijsstelling tot uitbesteding aan specialisten die optreden als portfolio managers, codeurs, lanceerders, witwassers en beheerders van geïnfecteerde zombie-computers. Een aantal jaar geleden was cybercrime alleen weggelegd voor mensen met veel technische kennis. Tegenwoordig zijn er ook ict-leken die zich ermee bezighouden omdat de benodigde software makkelijk verkrijgbaar is en speciale deskundigheid door criminelen wordt ingehuurd. Beveiligingsspecialisten verbazen zich over de snelheid waarmee cybercrime zich ontwikkeld en blijft groeien.
Cybercriminele ketens
“Cybercriminelen van vandaag hebben niet noodzakelijk aanzienlijke technische expertise nog om de klus geklaard krijgen. In bepaalde gevallen hoeven zij zelfs niet over een computer te beschikken. Alles wat zij nodig hebben is een creditcard. Een marktplaats waarop instrumenten en diensten voor cybercrime worden aangeboden voorziet potentiële criminelen van een heel arsenaal dat gebruikt kan worden als component van een cyberaanval of als een handige manier om het hele proces uit te besteden. Deze ondergrondse marktplaats faciliteert een leger van cybercriminelen — en de kosten daarvan worden gedragen door alle burgers. (...) Het gemak waarmee dergelijke instrumenten beschikbaar zijn stelt cybercriminelen in staat om in een snel groeiend tempo niet alleen burgers te bestelen, maar ook bedrijven en overheden” [Troels Oerting - Hoofd van EC3 European Cybercrime Centre].
Cybercriminaliteit heeft zich inmiddels ontwikkeld tot een geheel nieuwe bedrijfstak. Er zijn cybercriminele ketens ontstaan van gespecialiseerde bedrijven die samenwerken om grotere en meer lucratieve doelwitten aan te vallen. Op de zwarte markten verhandelen cybercriminelen onderling een heel arsenaal aan informationele producten en diensten waarmee winstgevende doelwitten bestolen kunnen worden. Er worden informationele producten verhandeld zoals creditcardnummers, gecompromitteerde bankrekeningen, adressen, telefoonnummers, sociale zekerheidsnummers enz. Er wordt kwaadaardige software aangeboden en botnets verhuurd om de meest uiteenlopende malware en spam te verspreiden. Er worden kogelvrije serverruimtes voor hosting van criminele sites verhuurd en hackers en wachtwoordkrakers bieden zich aan om tegen betaling het vuile werk opknappen [Interpol 2011; MacAffe, Cybercrime Exposed].
Het cybercriminele bedrijfsmodel is als volgt opgebouwd.
- Handel in exploitatiecodes
Een exploitatiecode (‘exploits’) is een scriptcode waarmee de kwetsbaarheden in een programma kan worden misbruikt. Op internet zijn er speciale marktplaatsen waar cybercriminelen exploitatiecodes verkopen en kopen. Daar worden voor zeer hoge bedragen methoden en technieken verhandeld waarmee misbruik gemaakt kan worden van kwetsbaarheden (bugs) in hard- en software. Daarbij gaat het vooral om zwaktes die nog niet publiek bekend zijn, de zgn. Zero Day Exploits (ZDE).
Een voorbeeld van zo’n marktplaats is WabiSabiLabi. Op het ondergrondse internet (darknet) dat niet geïndexeerd wordt door zoekmachines en waarvan het gebruik geanonimiseerd wordt, worden exploits te koop aangeboden.
|
Premium Tools voor cyberdieven
Op de zwarte internetmarkt schaffen cyberbendes exploit kits aan die gebruik maken van verse lekken die nog niet of nauwelijks zijn gerepareerd. Een voorbeeld daarvan is de Cool Exploit Kit die in 2012 in omloop werd gebracht voor $10.000. De makers van het programma zoeken permanent naar nieuwe kwetsbaarheden en naar verbeteringen van oudere exploits waardoor deze weer bruikbaar zijn. Zij verzamelen in het bijzonder lekken in browser plug-ins [Webwereld 8.1.13].
De Blackhole Exploit Kit (BEK) was een succesvolle malware toepassing die werd gelanceerd op een ondergrond Russisch hackersforum. BEK was te huur en kon computers met alles besmetten wat maar kwaadaardig is: van valste antivirus en ransomware tot Zeus en de beruchte TDSS en ZeroAccess rootkit, die zowel Windows, OS X en Linux aanvallen. De innovatieve makers van BEK bieden gratis updates. TDSS is een ‘onverwoestbare’ rootkit die zich diep in het besturingssysteem nestelt en ook de malware van concurrenten weet uit te schakelen.
Exploit kits zijn de meest gebruikte methodes voor infectie van computers. De meest populaire bouwdozen zijn Pony, (Sweet) Orange, Magnitude en Nutrino. De producten van Java en Adobe zijn nog steeds de primaire doelwitten die geëxploiteerd worden — 90% van de exploits werken via kwetsbaarheden in Java.
|
- Distributiediensten voor malware
Cybercriminelen bieden diensten aan waarmee malware over het internet kunnen worden verspreid. Zij laten zich betalen om via hun netwerken van gecompromitteerde websites snel grote aantallen computers te infecteren. De malware distributeur verkoopt in feite webverkeer [DarkReading, 28.5.10; Symantec, 27.10.11; Trendmicro, 2011; Rand 2014].
Een botnet kan eenvoudig worden geconstrueerd door het kopen van een software ontwikkelingsprogramma dat op het internet beschikbaar is voor $1.500 tot $3.000. Daarmee kan vervolgens spam worden verstuurd, DDoS-aanvallen worden gelanceerd, clickfraude worden gepleegd, creditcard gegevens worden gestolen of gijzelingspremies worden geïncasseerd.
Steeds meer worden deze botnetdiensten echter ingehuurd bij gespecialiseerde criminelen die tegen vaste tarieven cyberaanvallen lanceren. De economie van de botnets ziet er ongeveer als volgt uit.
| Aspect |
Kosten per 10.000 cliënten |
| Cliënt acquisitie |
$400 tot $1.000 |
| DDoS-aanval (per uur) |
$100 tot $200 |
| DDos-afpersing |
$10.000 per cliënt |
| Spam emails |
$0,50 tot $1,50 |
| Klikfraude |
$1,500 |
| Adware |
$3.000 tot $15.000 |
Bron: The DDoS Threat Spectrum, 2012
Sinds begin 2013 dalen de prijzen voor botnets aanzienlijk als gevolg van het grote aanbod. De startprijs voor een Amerikaans botnet is gedaald van 200 naar 120 dollar. Dit een teken dat de markt volwassen is geworden en niet meer is voorbehouden aan experts [Webroot].
De verschillende prijzen die voor bepaalde landen worden betaals is afhankelijk van de waarschijnlijkheid dat kwaadaardige softer door doelwitten in dat land gedownload en geopend wordt. Dit bepaald immer de kans dat cybercriminelen toegang krijgen tot hoogwaardige vertrouwelijke informatie (zoals creditcard nummers en wachtwoorden) en tot sites en netwerken van ondernemingen.
| |
1.000 |
5.000 |
10.000 |
| World MIX |
25 $ |
110 $ |
200 $ |
| EU MIX |
50 $ |
225 $ |
400 $ |
| DE, CA, GB |
80 $ |
350 $ |
600 $ |
| USA |
120 $ |
550 $ |
1.000 $ |
Bron: Dancho Danchef, Webroot, 28.2.13.
Vergelijk ook de cijfers van de Russische
zwarte cybermarkt van Trend Mico [2012:6].
Verhuurders van botnetdiensten voor malafide activiteiten hebben financiële motieven om hun botnets zo groot mogelijk voor te stellen. Om de omvang van hun botnet te demonstreren kunnen zij soms een paar minuten worden geprobeerd: ‘try-before-you-buy’.
|
Roterende proxies
Criminelen gebruiken botnets ook om hun identiteit op internet af te schermen. Er zijn speciale online diensten die cybercriminelen hiervoor kunnen inhuren. De dienst bestaat uit een webinterface waarmee criminelen zelf een manier kunnen kiezen om hun identiteit te verbergen. Daarbij wordt gebruikt gemaakt van besmette computers als proxies. Wanneer meerdere besmette computers aan elkaar worden gekoppeld, wordt het voor opsporingsdiensten nog lastiger om de dader van een cybermisdrijf op te sporen. Criminelen kunnen met behulp van de software op eenvoudige wijze de gebruikte proxies laten wisselen en roteren.
Voor het gebruik van 150 proxies per maand betalen cybercriminelen $25. Voor 1.500 proxies wordt per maand iets meer dan $95 betaald.
Ook de kosten van het anonimiseren van de internetactiviteiten van cybercriminelen worden steeds lager [Dancho Danchev, 20.3.13; Security.nl, 23.3.13]. Een voorbeeld van zo’n proxy verhuurder is het sinds 2004 onder verschillende namen opererende Foxy Proxy. Zie ook de lijst van The Proxy Bay.
|
- Verkopers van persoonsgegevens
Er is een levendige handel in gestolen identiteiten. Deze diensten (zoals 76Team.com) bieden cybercriminelen een platform om een portfolio van gestolen databestanden te kopen, te verkopen en te beheren.
Omdat er steeds meer servers en databases met gevoelige gegevens worden gehackt, dalen de prijzen voor gestolen inloggegevens of persoonsgegevens. In 2011 wat een bankrekening net zevenduizend dollar te koop voor $300. Twee jaar later krijgt men voor dat bedrag al de inloggegevens van een bankrekening waar driehonderduizend dollar op staat. Een compleet dossier met persoonlijke gegevens koste in 2011 nog $60, nu slechts $25 [Secureworks, 18.11.13; BBC 17.12.13].
|
Maffiabaas achter de tralies
Politiediensten concentreren hun inspanningen op de sterkste knooppunten van de cybercrininele keten en op het ontmantelen van de marktplaatsen waarop zij hun expertise verkopen.
In 2001 kwam een groep van 150 Russisch-sprekende crackers bijeen in een restaurant in Odesse of CarderPlanet op te richten. Het groeide uit tot een van de meest beruchte websites voor fraude met creditcard gegevens.
Roman Vega (aka BOA) was de administrateur van CarderPlanet die opgezet was langs de lijnen van La Cosa Nostra, met een Godfather (Dimitry Golubov) en daaronder een aantal Don, waaronder Vega [bron]. Onder Vega’s leiding werd CarderPlanet een van de drukste zwarte cybermarkten voor de verkoop van gestolen financiële informatie, hacking en witwaspraktijken. Vega werd in februari 2003 gearresteerd toen hij de relatief veilige haven van zijn geboorteland Oekraïne verliet om naar Cyprus te reizen. Op zijn laptop werden een half miljoen data van creditcards van 7.000 verschillende financiële instellingen aangetroffen. In 2013 werd Vega in de VS veroordeelt tot 18 jaar gevangenisstraf.
Voor de verkoop van creditcard informatie ontwierp Vega een kwaliteitscontrole systeem dat ervoor moest zorgen dat de fraudeurs niet bestolen werden door hun medefraudeurs. Verkopers moeten aantonen dat hun creditcards origineel waren en niet eerder waren verkocht [ArsTechnica, 12.12.13; Gary Warner, 27.1.2014].
CarderPlanet werd een van de drukst bezochte online zwartemarkten met meer dan 6.000 leden. De site fungeerde als internationaal platform van en voor creditcard dieven.
|
- Malware in licentie
Op de zwarte cybermarkt zijn de meest uiteenlopende malware-varianten te koop en te huur. Malwarecode waarmee delicten kunnen worden gepleegd kunnen door iedereen die de weg weet te vinden worden aangeschaft. Virussen, Trojaanse paarden, Exploitkits, Rootkits en Ransomware, alles is te koop of te huren.
Schrijvers van malware hanteren licentiemodellen waardoor cybercriminelen hen direct betalen voor het gebruik van hun kwaadaardige software. Cybercriminelen kunnen hoogwaardige malware aanschaffen en hoeven deze niet meer zelf te ontwikkelen. De malwareschrijvers beschikken hierdoor over steeds grotere fondsen waarmee zij innovaties in de ontwikkeling van malware financieren.
Een voorbeeld van deze commerciële malware is Storm Worm. Commerciële malware producenten leveren online ondersteuning om hun cybercriminele klanten te helpen de instrumenten beter te gebruiken. Voor malware producenten zijn de risico’s gering. Hun producten kunnen immers ook voor goede, legale doeleinden worden gebruikt. Zij worden altijd geleverd met de disclaimer dat de software «alleen voor onderzoek» gebruikt mag worden.
|
Wil jij ook eens spioneren?
Op Russische ondergrondse webfora worden de meest uiteenlopende cybercriminele diensten aangeboden: spam, virussen, Trojaanse paarten, botnets, DDos-aanvallen etc. Alles is te koop voor steeds lager wordende bedragen.
“Zou je graag zelf een beetje willen spioneren? Wil je er zeker van zijn dat je partner je niet bedriegt? Schrijft je vriendin voortdurend sms’jes aan iemand en zegt ze dat die gericht zijn aan haar vriendin? Dan is dit de juiste dienst voor u!”. Die dienst bestaat uit een Trojaans paard dat het mogelijk maakt om alle inkomende en uitgaande sms-berichten te lezen. Kosten: 350 dollar.
De mobiele SMS-spion is kinderlijk eenvoudig aan het werk te zetten. Je stuurt met Skype een SMS naar de telefoon van het slachtoffer. Dan komt er een MMS (de multimedial opvolger van SMS) aan. Wanneer de MMS wordt geopend installeert het programma zich automatisch op de telefoon. Vanaf dat moment wordt al het inkomende en uitgaande sms-verkeer van de telefoon van het slachtoffer verstuurd tegelijkertijd naar jouw telefoon verstuurd. Het slachtoffer merkt er niets van [Trend Micro 2012:14].
|
- Cybercriminele sociale netwerken
Ook cybercriminelen maken gebruik van sociale netwerken. In de netwerksites verwerven cybercriminelen de reputatie die nodig is om illegale goederen en diensten te verkopen en te kopen, of om partners te vinden om grotere operaties te realiseren.
Veel mensen denken dat hackers eenlingen zijn en anti-sociaal. Het tegendeel is waar: hackers leven in een collegiale subcultuur waar individuen informatie met elkaar delen. Zij gebruiken webfora, IRC kanalen, blogs en andere online media waarin hackers met elkaar communiceren en bronnen delen die het hacken faciliteten. De meeste hackers werken binnen losse netwerken met een beperkt aantal mensen.
Deze keten van gespecialiseerde en geprofessionaliseerde diensten biedt voor cybercriminelen veel voordelen. De elementen van deze keten worden steeds verder verfijnd en beter op elkaar afgestemd. De cybercriminele keten wordt gedifferentieerd in een aantal subketens waardoor ook de pakkans wordt gespreid. Een schrijver van malware hoeft geen data meer te stelen of zelf fraude te plegen om een deel van de buit binnen te halen. Hij verkoopt zijn malware met winst zonder dat hij hoeft deel te nemen aan activiteiten met een hoog risico. Er is geen strikte hierarchie — de online forums bieden een platform voor het uitwisselen van diensten voor de digitale onderwatereconomie. Voor politie en justitie wordt het moeilijker om zicht en greep te krijgen op alle actoren die bij cybercriminele operaties betrokken zijn.
Automatisering
De huidige generatie cybercriminelen heeft haar operaties in vergaande mate geautomatiseerd om in minder tijd meer productief te zijn. Zij maken gebruik van malware en scripttechnieken om de verschillende fases van hun scenario’s uit te voeren. Bij grotere operaties wordt gebruik gemaakt van veelzijdige softwarepakketten (exploit kits) die verschillende functies verrichten welke door de gebruiker kunnen worden gemodificeerd, gespecificeerd en gerecombineerd. Bijvoorbeeld:
- het maken van een botnet;
- het stelen van gegevens, certificaten en logo’s van online diensten;
- het stelen van de beelden van checks van die diensten;
- het printen van imitatiechecks;
- het rondneuzen op banensites om e-mail adressen te vinden van baanzoekers;
- het spammen van die adressen om geldezels (money mules, katvangers) te rekruteren om vervalste checks te inkasseren;
- het rekruteren van de geldezels om de checks te inkasseren en de fondsen naar de rekeningen van de cybercriminelen te sturen;
- het versturen van vervalste checks naar de geldezels.
Cybercriminelen ronselen internetgebruikers om gestolen geld te witwassen. Zij zoeken naar ‘vertegenwoordigers’ die betalingen controleren en documenten versturen. In advertenties worden internetters verleid om op een gemakkelijke manier geld te verdienen. Katvangers of geldezels worden aangetrokken met lokmails zoals:
- “Help onze doktoren en ontvang daar geld voor.”
- “Verdien 25 euro per 2 uur door vanuit huis in uw vrije tijd te werken.”
- “Ik ben bereid om 95 euro per uur aan u te betalen voor maatschappelijk nuttig werk in uw vrije tijd"”
- “Help zieke mensen in je vrije tijd en verdien 500 euro per week!”
- “U kunt in uw vrije tijd niet alleen geld verdienen, maar ook mensen in uw stad helpen.”
Iets goeds doen voor de mensheid er zelf nog geld mee verdienen ook. Dat is te mooi om waar te zijn. In werkelijkheid maken criminelen geld over naar de rekening van de katvanger dat ze van andere rekeningen hebben gestolen. De katvanger moet een deel van het bedrag opnemen en via betalingskantoren zoals Western Union overmaken. Een gedeelte mag de katvanger zelf houden.
Om jongeren te waarschuwen voor criminele operaties startte de Nederlandse Vereniging van Bankiers de campagne Pasopjepas. “Je bent een geldezel als je je pas en pincode uitleent. Daarmee kunnen criminelen je bankrekening gebruiken om gestolen geld weg te sluizen. Ze beloven je zogenaamd een beloning. Trap er niet in! Want je rekening wordt misbruikt en jij krijgt een strafblad.”
|
De werkwijze van de moderne cybercrimineel verloopt in de volgende etappes. De cybercrimineel huurt eerst black hat hackers in om kwaadaardige software te schrijven. Via gespecialiseerde distributiediensten (phishing services, drive-by-download services) wordt de crimeware verspreid via alle digitale netwerken en worden de computers van bankklanten geïnfecteerd. Met de gestolen bankcodes wordt ingebroken op de bankrekeningen. Op een afgesproken (lees: geprogrammeerd) tijdstip wordt van alle rekeningen geld weggesluisd naar de rekeningen van de geldezels. Geldezels sluizen het geld door naar bankrekeningen van de topcrimineel en de geldezels worden afgescheept met een klein percentage.
De geldezels zijn meestal het haasje — hun pakkans is tamelijk groot. Zij draaien op voor de schade en kunnen strafrechtelijk worden vervolgd [NVB; Security.nl, 24.6.11; Security.nl, 6.4.12].
|
Gereedschap van cybercriminelen |
|---|
bbb
- Inbraakgereedschap: crimeware (inclusief pw krakers)
- Verspreiding: drive-by downloads, hengelen & speervissen.
- Aansturen van C&C-servers.
- Bescherming van eigen identiteit: reduceren van pakkans.
- Binnenhalen van de buit: verkopen van de buit.
Niet vergeten spionage: trucs die cybercriminelen gebruiken om bijv. bankgegevens te achterhalen.
Encryptie van besmette bestanden
Cybercriminelen gebruiken een encryptieprogramma (‘crypter’) om met malware geïnfecteerde bestanden te verbergen voor beveiligingssoftware. Om een besmet bestand of voor antivirus- en inbrackdetectiesystemen te verbergen worden diverse encryptietechnieken gebruikt. Hoe effectiever de techniek is, des te duurder het wordt.
Een versleutelt bestand kan niet worden uitgevoerd totdat het ontsleuteld is. Als onderdeel van het encryptieproces wordt er een stub toegevoegd aan het versleutelde bestand. Een stub is een stukje code dat gebruikt wordt om een geëncrypteerde kwaadaardige code weer te decoderen. De stub keert het proces om dat gebruikt is om het orginele bestand te versleutelend, extraheert het en zet het om in een uitvoerbaar programma. Als de malware eenmaal gedecrypteerd is door de stub kan het gelanceerd worden en beginnen om schade te berokkenen.
Bij een statistische encryptie worden verschillende stubs gebruikt om elk geëncrypteerd bestand uniek te maken. Als er een stub ontdekt wordt door beveiligingssoftware dan moet deze worden gemodificeerd (‘cleaned’').
Bij polimorfe encryptie wordt gebruik gemaakt van geavanceerde algotismes die random variabelen, data, sleutels, decoders etc. gebruiken. Een input bronbestand produceert nooit een output bestand dat identiek is aan de output van een ander bronbestand. Dit wordt bereikt door verschillende algoritmes te gebruiken.
Gemiddeld kosten encryptieprogramma’s $10-15. Polimorfe crypters — die meesta .EXE en .DLL bestanden encrypteren— kosten meer. Encryptieprogramma’ die beruchte malware zoals ZeuS, Pinch en andere bots en Trojaanse paarden gebruiken worden ook online verkocht, voor zo'n $30-50. Er zijn ook een aantal bijzondere aanbiedingen zoals een dienst die een .PDF bestand en een .EXE bestand in een .PDF bestand zetten. Op een Russisch cybercrimineel forum werd het volgende bericht geplaatst:
“You give me an .EXE and any ordinary .PDF file (if you
don’t have one, I can use a blank .PDF or my own) that
should be shown to the user. I will stitch them together and
give you a toxic .PDF file. When it’s opened, the .EXE and
.PDF are extracted and the toxic .PDF is replaced by the
ordinary .PDF and displayed to the user. This service costs
US$420” [Trend Micro 2012:2].
Op de vrije internetmarkt is een zeer uitgebreid aanbod van krachtige encryptieprogramma’s. Het aan banden leden van dit aanbod is geen realistische optie. Daarvoor zijn deze programma’s en hun broncode te zeer over de hele wereld verspreid. Geen wet of maatregel kan verhinderen dat criminelen de hand kunnen leggen op encryptieprogramma’s met militaire kracht.
Cybercriminelen versleutelen hun communicatie om te ontsnappen aan het wakend oog van rechthandhavers. De kwaliteit van de encryptie is tegenwoordig zo hoog dat onderschepte berichten slechts met grote en langdurige inspanning ontcijferd kunnen worden. Het versterken van kennis van cryptografische technieken en van vaardigheden om versleutelde berichten te identificeren en te ontsleutelen heeft daarom voor digitale recherchediensten een hoge prioriteit.
Dedicated server
Om hun anonimiteit te bewaren maken cybercriminelen gebruik van een dedicated server. Dat is een fysieke server die door de hosting provider in een serverkast in een datacentrum wordt geplaatst, en die de klant niet met anderen deelt. Ze kan voor diverse kwalijke activiteiten worden gebruikt, zoals het kraken van wachtwoorden (brute forcing) en zwendel met creditcards (carding).
Deze activiteiten doet de cracker bij voorkeur niet op zijn eigen machine. Om op een veilige manier downloads van malware te genereren gebruiken cybercriminelen meestal dedicated servers of bulletproof providers om internetverkeer naar webpagina te sturen die geïnfecteerd zijn met een giftige exploitatiecode. Omdat de dedicated server wordt benaderd via VPN wordt de anonimiteit van de dader gewaarborgd.
Daarom is er op de zwarte cybermarkt veel vraag naar dedicated servers. Hosting providers die zichzelf als bulletproof aanprijzen stellen cybercriminelen in staat om elk soort materiaal op een site te plaatsen zonder angst om uit de lucht gehaald te worden [Threatpost, 24.9.14].
Beheerders van botnets en de crimeware bendes achter banking Trojans hebben veel succes behaald met het gebruik van bulletproof providers als hun belangrijkste operatiebasis. Maar inmiddels hebben cybercriminelen ontdekt dat sociale netwerken zoals Facebook en Twitter een nog vruchtbaarder en gemakkelijker grond is voor het controleren van hun malware.
Zij gebruiken sociale netwerken als commando & controle mechanismen voor hun malware.
|
Facebook als crimeware commandocentrale
De organisatie van een criminele aanval via sociale media is relatief eenvoudig, maar ook zeer effectief. De cybercrimineel maakt eerst een of meer nepprofielen aan op een sociaal netwerk. Vervolgens wordt er een specifieke reeks geëncrypteerde commando’s aan het profiel toegevoegd.
Wanneer er een nieuwe computer wordt geïnfecteerd met crimeware (zoals een Trojaans paard) dan wordt eerst het profiel benaderd en gecontroleerd op nieuwe commando’s. Het specifieke commando begint met een reeks willekeurige tekens die dienen als authenticiteitsmechanisme waardoor het Trojaans paard weet dat het de juiste commando’s heeft gevonden. De rest van de geëncrypteerde reeks zijn hard-coded instructies die het Trojaanse paard vertellen wat het vervolgens moet doen, zoals zoeken naar andere machines in het netwerk, zoeken naar bewaarde data of registreren van toetsaanslagen wanneer de gebruiker een specifieke online banksite bezoekt.
Cybercriminelen maken vaak tientallen of honderden van deze profielen aan. Als er een zo’n profiel ontdekt wordt en uit de lucht wordt gehaald, dan gaat de malware automatisch door naar het volgende profiel.
YouTube als besmettingshaard
Cybercriminelen maken al jaren gebruik van advertenties om slachtoffers naar sites te lokken die kwaadaardige code bevat. Deze advertenties werden meestal verstuurd per e-mail of vertoont op populaire websites. Sinds de zomer van 2014 ontdekten de bad cyber guys een nieuw platform om computers van slachtoffers met malware te infecteren: YouTube.
Terwijl bezoekers naar de advertenties in een video kijken wordt heimelijk de Sweet Organge exploitkit geladen, die misbruik maakt van bekende lekken in Java, Internet Explorer en Adobe Flash Player die door deze bezoekers nog niet waren gedicht.
Om opsporing te voorkomen wijzen de advertenties niet direct naar de exploitkit, maar wordt het verkeer via twee advertentiesites geleid. Vermoedelijk hebben de cybercriminelen achter deze aanval hun verkeer gekocht van legitieme advertentie providers. Om hun activiteiten een legitiem tintje te geven maakten ze gebruik van de aangepaste DNS-gegevens van een Poolse overheidssite. Op een of andere manier manipuleerden de cybercriminelen de DNS-gegevens zodat er subdomeinen aan werden toegevoegd die naar hun eigen servers wezen.
De kwaadaardige advertenties waren bij verschillende populaire video’s te zien. Zij stonden op video’s met meer dan 11 miljoen views — met name een muziekvideo die door een bekend platenlabel was geplaatst. Bij een succesvolle aanval werd een variant van het Kovter-ransomware geïnstalleerd. Bij deze afpersingsmethode wordt de computer van het slachtoffer vergrendeld met de mededeling dat de gebruiker een misdaad heeft begaan en een boete moet betalen om weer toegang te krijgen.
Alleen al in de VS werden binnen 30 dagen al meer dan 113.000 slachtoffers gemaakt.
[TrendMicro, 14.10.14].
|
Proxyserver
Een proxyserver is een intermediare computer die fungeert als een tussenschakel tussen een computer en het internet. Proxyservers kunnen voor diverse doeleinden worden gebruikt. Ze versnellen de overdracht van data en filteren het verkeer. De belangrijkste reden waarom zij door cybercriminelen worden gebruikt, is dat zij anonimiteit verzekeren. De doelserver ziet alleen het IP-adres van de proxyserver en niet die van de computer van de crimineel.
Een proxyserver kan worden gekocht of gehuurd, maar kan ook worden gestolen. Cybercriminelen maken vaak gebruik van Trojaanse paarden die aan internet verbonden computers transformeren in proxyservers.
Fast flux is een DNS-techniek die gebruikt wordt door botnets om de commando en controle server die kwaadaardige software verspreiden en hengeloperaties aansturen te verbergen achter een telkens veranderend netwerk van gecompromitteerde computers die als proxies fungeren. Op deze wijze worden een groot aantal IP-adressen verbonden met één enkele domeinnaam, waarij deze adressen met extreem hoge frequentie worden uitgewisseld. Door deze constant wisselende achitectuur wordt het nog moeilijker om het criminele netwerk te identificeren of te lokaliseren.
De meeste cybercriminelen weten echter ook dat dit geen volledige anonimiteit kan garanderen. Ondanks de beloftes van proxyserver hosters worden er in die servers toch logboeken bijgehouden.
|
Methoden van anonimisering
Er zijn verschillende methoden om de eigen lokatie en identiteit op het internet te verbergen. Het meest gebruikt zijn proxies, virtuele particuliere netwerken (VPN) en Darknets
|
VPN - Virtual private networks
VPN technologie wordt gebruikt om een veilige en versleutelde tunnel op een computer te creëren wanneer deze met het internet verbonden is waarlangs vervolgens data worden getransporteerd. De crimineel kan allerlei conventionele programma's gebruiken (e-mail, Skype, ICQ) waarbij de data versleuteld blijven ook als zij worden verzonden. Een VPN-verbinding beschermd data door het versleutelen van al het inkomende en uitgaande verkeer met de computers waarmee deze is verbonden.
Pay-per-Install (PPI) — Incasseren per infectie
Voor de distributie van malware wordt gebruik gemaakt van het Pay-per-Install (PPI) bedrijfsmodel. Aanvankelijk werd het PPI-model gebruikt om advertenties te distribueren. De adverteerder betaalde een commissie voor elke plaatsing van een advertentie door een gebruiker. De geaffilieerde die intekent bij een PPI-site ontvangt een bestand van de PPI-provider dat deze op zoveel mogelijk andere internetlocaties geplaatst te krijgen. De geaffilieerde partner koppelt het PPI-bestand aan een ander programma (zoals een spelletje of een nuttige bureauapplicatie) dat op hun site beschikbaar wordt gesteld. Op de computers van de mensen die dat programma downloaden wordt vervolgens automatisch de adware geïnstalleerd.
Tegenwoordig wordt PPI vooral gebruikt om kwaadaardige software te verspreiden waarmee direct of indirect geld gestolen kan worden. De crimineel die zijn malware (meestal Trojaanse paarden), spyware, ransomware etc. wil verspreiden, betaalt de geaffilieerden een commissie voor elke keer dat zij erin slagen om een computer, laptop of smartphone te infecteren. De geaffilieerden versturen met malware vergiftige e-mails, sms- en mms-jes, foto’s en video’s, bestanden en spelletjes, programma’s naar liefst zo veel mogelijk doelwitten.
In het criminele PPI-bedrijfsmodel werkt een PPI-site samen met duizenden geaffilieerde partners om kwaadaardige software te verspreiden. De geaffilieerden worden betaald op basis van het aantal malware infecties dat zij produceren. Om grote aantallen computersystemen te infecteren wordt gebruikt gemaakt van botnets. Via het controlesysteem van de bot krijgen gecompromitteerde computers de instructie om een softwarepakket van een geaffilieerde PPI-bron te installeren [SecureWorks, 29.9.09].
Een klassiek voorbeeld van een criminele PPI-site is Pay-Per-Install.org. Deze site fungeerde ook als forum en marktplaats waar cybercriminelen delibereren over welke PPI-programma’s de hoogste winsten genereren.
|
Cybercriminele casuïstiek |
|---|
Bredolab botnet — Incasseren per infectie [2010]
|
Op haar hoogtepunt verstuurde de botnet 3,6 miljard virale e-mails per dag. Computers over de hele wereld werden met schadelijke software besmet via in Nederland en Frankrijk gehuurde servers. De servers werden gehuurd bij een klant van LeaseWeb, de grootste hostingprovider in Nederland [OM, 25.10.10].
|
Het Bredolab botnet was een Trojaans paard dat vooral verspreid werd door het versturen van e-mails waaraan kwaadaardige software was verbonden dat een computer infecteerde zodra de bijlage werd geopend. De gïnfiltreerde computers kwamen hierdoor onder volledige controle van cybercriminelen te staan. Op die manier werden wachtwoorden, financiële gegevens en andere gevoelige informatie gestolen.
Een andere manier om de malware te verspreiden was door het gebruik van drive-by downloads. De malware wordt verspreid door websites die bekende kwetsbaarheden in webbrowsers en hun plugins exploiteren. Bij gebruikers die zo’n besmette site bezoeken wordt automatisch de malware op hun computer geplaatst zonder dat ze er erg in hebben.
Bredolab had meer dan 30 miljoen zombie-computers in zijn macht, die vanuit servers in Nederland geïnfecteerd waren.
De hoofdinkomsten van het botnet was het verhuur van delen van het botnet aan derden, die de geïnfecteerde systemen voor eigen doeleinden konden gebruiken (scareware, malware, spam etc). De eigenaar van het botnet maakte $139.000 per maand [Kirk, 29,10.10].
Op 25 oktomer 2010 maakte het Openbaar Ministerie bekend dat zij erin geslaagd was om het Bredolab botnet neer te halen. In totaal werden er 147 servers afgesloten bij een hostingprovider in Haarlem. Een dag nadat Bredolab was opgerold, werd het vermeende brein van het virus aangehouden, een zevenentwintigjarige Armeniër [OM, 26.10.10].
Georgy Avanesov
|
|---|
Toen Bredolab botnet bij een Nederlandse hosting provider uit de lucht werd gehaald, deed de Armeniër Georgy Avanesov verschillende pogingen om de controle over het botnet terug te krijgen. Toen dat mislukte deed hij een massale aanval met 220.000 besmette computers op het systeem van de hosting provider. Deze DDoS-aanval kon worden beëindigd doordat in Parijs drie servers die de verdachte bij deze aanval inzette, werden afgesloten van het internet.
Avanesov werd in Armenië gearresteerd op het Zvartnots vliegveld in Yerevan. Aanvankelijk ontkende hij elke betrokkenheid bij het botnet. Later gaf hij toe dat hij de Bredolab malware had gemaakt, maar hij ontkende dat hij criminele intenties had. In mei 2012 werd hij schuldig bevonden aan ‘computer sabotage’ en veroordeeld tot vier jaar gevangenisstraf [TechWorld, 14.5.12; Huffington Post, 20.5.13]. Het was de eerste cybercrimineel die in Armenië veroordeeld werd.
|
Na de ontmanteling kraakten het Team High Tech Crime (THTC) en gelegenheidspartner Fox-IT de infrastructuur van Bredolab, zodat het Openbaar Ministerie via dat netwerk waarschuwingsberichten kon versturen aan slachtoffers van het virus. Meer dan 100.000 computergebruikers werden gewaarschuwd dat hun computer deel uitmaakte van een botnet en kregen instructies hoe zij Bredolab van hun computer konden verwijderen.
De KLPD had al twee maanden voordat het tot actie overging weet van Bredolab. Toch werd de hostingprovider gevraagd de servers draaiende te houden, waardoor het besmetten van computers gewoon doorging. Volgens het OM was dat nodig om erachter te komen wie de verantwoordelijken waren. Critici vroegen zich af of het OM hier niet te ver was gegaan.
Hoewel de belangrijkste servers in het Bredolab botnet zijn platgelegd, is een deel van het netwerk nog levend en zijn een aantal commadoservers in Kazachstan en Rusland nog intact [The Register, 29.10.10].
Criminele telefoonhengelaars
Het is niet altijd makkelijk om criminele hengelaars te vangen. Maar toch slaagde de politie erin een Nederlandse bende te arresteren die zich toelegde op het hengelen naar inloggegevens om daarmee bankrekeningen leeg te halen (phishing].
Het doelwit van de bende waren vooral oudere bestuursleden van verenigingen en stichtingen in dorpen en kleine steden. Zij werden grootschalig telefonisch benaderd om hun bankgegevens te ontfutselen. Het geld werd doorgesluisd van rekeningen van geldezels/katvangers, die verspreid over het land met hun pinpas klaarstonden om geld op te nemen. In totaal verplaatste de bende 1,4 miljoen euro naar andere bankrekeningen binnen een tijdsbested van bijna een jaar. Doordat banken vaak argwaan hadden en ingrepen, bedroeg de daadwerkelijke buit 0,5 miljoen euro.
Virginia E. verrichtte het belwerk en waabij ze zich voordeed als bankmedewerktster. Haar partner Furgel R. regelde een netwerk van ronselaars die weer geldezels aanwierven. Een van deze ronselaars was Ricardo G. [Volkskrant, 21.10.13].
Op 21 oktober 2013 werd aan drie leden van de criminele organisatie door de rechtbank in Haarlem gevangenisstraffen opgelegd. De hoogste straffen waren voor Furgel R. (34) uit Diemen en zijn partner Virginia E. (34) uit Amsterdam. Zij werden veroordeeld tot 32 maanden cel, waarvan de helft voorwaardelijk. Ricardo G. (25) uit Den Helder moet 10 maanden zitten. Omdat de rechtbank op onderdelen van de aanklachten vrijspraak verleende, vielen de straffen lager uit dan de eisen (die opliepen tot 4 jaar).
Liefdeloze wereld: romantische fraude
Mensen zoeken de ware liefde tegenwoordig ook online. Maar dit oprechte zoeken naar een partner kan zomaar omslaan in iets boosaardigs. Online dating is doelwit geworden van criminele individuen die het gebruiken om onvoorzichtige liefdeszoekers te bezwendelen. Statistisch gezien is de kans dat je op een datingsite een vrouw ontmoet die je wil oplichten is zeer groot (10% tot 80%). Als je goed oplet zijn er altijd wel signalen (tells of red flags), maar er zijn ook zeer goed acterende fraudeurs die behendig zijn in het winnen van het vertrouwen van de liefdesprooi. Meestal wonen zij in landen waar je ze niet kunt bereiken.
De romantische fraudeurs kopiëren vaak een goed geschreven profiel van iemand anders om hun slachtoffers te lokken. Zij poseren als vrouwen die de kenmerken hebben die hun slachtoffers aantrekken, maar zijn niet allemaal super aantrekkelijk of jong.
Nadat er contact is gelegd met een slachtoffer wordt er via e-mail, chatrooms en sms-jes een vertrouwensband opgebouwd. Vervolgens wordt al snel om een gunst gevraagd. Zij heeft geld nodig omdat haar kind geopereerd moet worden, omdat er een boze ex afgekocht moet worden, omdat de begrafenis van een familielid betaald moet worden of omdat zij je wil ontmoeten maar de paspoorten en visa’s niet kan betalen.
Op 29 mei 2014 arresteerde de politie in Sydney een 39-jarige alleenstaande moeder voor een romantische zwendel van oudere mannendie haar meer dan $1,86 miljoen opleverde. Zij zocht de mannen op in datingsites. De nadat ze de mannen wanhopige verhalen vertelde vroeg zij hen om geld te storten op haar bankrekening. Ze vertelde hen bijvoorbeeld dat haar kind een operatie nodig had die zij niet kon betalen, of dat er een familielid in Egypte was overleden en dat zij geld nodig had voor de begrafenis. De vrouw leefde van een uitkering maar leidde een lux leven met sportauto’s, vakanties, dure handtassen en plastische chirurgie [SMH, 30.5.14].
Zie voor uitvoerige informatie over romantische en datingfraude: Romance Scams Now
Nigeriaanse voorschotfraude: 419 zwendel
419 zwendel is een vorm van oplichting waarbij het slachtoffer gouden bergen wordt beloofd, als hij eerst relatief kleine onkosten wil voorschieten om de transactie mogelijk te maken. Als het slachtoffer deze kosten voldoet, dan vraagt de fraudeur nog om nog meer bijdragen om de transactie af te ronden. Deze kosten-truc wordt herhaald tot het slachtoffer afhaakt, waarna de oplichters spoorloos verdwijnen.
Het nummer 419 verwijst naar het artikel van het Nigeriaanse strafrecht dat over fraude gaat.
Er zijn diverse vormen van voorschotfraude die er allemaal op gericht zijn om de slachtoffers geld afhandig te maken. Bekende voorbeelden zijn de Afrikaanse dictator die steun vraag om een grote som geld van zijn bankrekening te halen,
Kenmerkend voor de meeste oplichtingspogingen is:
- het voorstel is te goed om waar te zijn;
- de eerste mails bevatten vaak veel taalfouten;
- de zwendelaar spreekt je niet met je naam aan;
- het voorstel gaat altijd over exotische landen;
- er wordt geïnsisteerd op urgentie en op vertrouwelijkheid;
- je wordt voorzien van veel schijnbaar officieel-uitziende documenten die in werkelijkheid vervalsingen zijn;
- er wordt al snel gevraagd naar gedetailleerde persoonlijke informatie zoals adres, geboortedatum, rekeningnummer van bank, of identificatie zoals paspoort;
- er wordt gebruik gemaakt van speciale betalingsmethodes zoals Western Union, waarbij de ontvanger niet te traceren is en de betaling niet kan worden teruggedraaid.
|
Oplichters treiteren
Nog steeds worden talloze internetgebruikers het slachtoffer van Nigeriaanse oplichters [Security.nl, 21.1.14]. Mensen die het zat zijn besloten terug te vechten door de oplichters zelf op te lichten. Zij gaan in dialoog met de oplichters om hun tijd en bronnen te verkwisten waardoor zij minder tijd hebben voor echte potentiële slachtoffers. Scam baiting werd een favoriet tijdverdrijf voor vele internetters [Security.nl, 15.5.09; Scam Eater; ScamORama].
Het treiteren van oplichters kan een gevaarlijke hobby zijn. Oplichters zijn criminelen. Het is bekend dat zij hun slachtoffers kidnappen, martelen en zelfs vermoorden.
|
|
Economie van cybercrime |
|---|
“blabla” [Generaal-majoor].
Sinds een aantal jaren is cybercriminaliteit veranderd van een obscuur nevenverschijnsel in een steeds groter wordend veiligheidsprobleem voor consumenten, ondernemers en staten. Cybercriminaliteit is omvangrijk, snel groeiend, hoog ontwikkeld en uiterst lucratief. De vraag naar gemakkelijk geld is veel groter dan het aanbod. Een aantal criminelen doen het zeer goed, maar voor de meerderheid is het een medogenloze strijd om kleine winsten [NYT, 15.4.12].
Kosten van cybercrime - Omvang van de buit
Mondiaal
Cybercriminaliteit veroorzaakt “de grootste transfer van rijkdom in de geschiedenis” [Gen. Keith Alexander, 9.7.12]. McAfee/CSIS schatten de globale kosten van cybercrime jaarlijks op zo’ $445 miljard tot $1 biljoen (1012). Dat is 15% tot 20% van de totale waarde die door het internet wordt gecreëerd [Net Losses: Estimating the Global
Cost of Cybercrime, 2014]. Hier kritische noot: Wired, 1.8.12.
Het Center for Strategic and International Studies (CSIS) en het computerbeveiligingsbedrijf McAfee berekenden in 2014 dat criminele hackers de internationale economie jaarlijks zo’n 445 miljard dollar schade berokkent (met een minimum van $375 miljard en een maximum van $575 miljard).
De kosten van diefstal van intellectueel eigendom van de Amerikaanse bedrijven worden door Symantec geschat op $250 miljard per jaar.
Europa
Volgens de Bijzonder Comissie georganiseerde misdaad, corruptie en witwassen (CRIM) van het Europese Parlement veroorzaakt cybercriminaliteit in Europa 290 miljard euro per jaar [Der Spiegel, 13.10.13].
Nederland
|
@@@
TNO baseert zich op de uitkomst van een Brits onderzoek in opdracht van het ministerie van binnenlandse zaken. Die resultaten zijn geschaald naar de situatie in Nederland.
|
Volgens een verkennend onderzoek van het TNO kost cybercrime de Nederlandse samenleving jaarlijks tenminste tien miljard euro, dat is 1,5% tot 2% van ons bruto binnenlands product (bbp). De onderzoekers van het TNO beschouwen dit getal als een ondergrens. De werkelijke kostenpost zou zelfs een factor twee tot drie hoger kunnen liggen (zie bijvoorbeeld het onderzoek van Ernst & Young).
De schade die de Nederlandse economie oploopt als gevolg van digitale diefstal is relatief hoog. Dat hebben we vooral te danken aan onze relatief hoge dichtheid in bekabeling, de geavanceerde digitale infrastructuur, de relatief grote hoeveelheid dataverkeer en het open karakter als handelsnatie.
Volgens Eurostat worden Nederlandse bedrijven vier keer vaker door cybercrime worden getroffen dan Britse (vergelijk ook het onderzoek van Detica in opdracht van het Britse ministerie van Binnenlandse zaken).
Van de totale schade komt 75% voor rekening van het bedrijfsleven; 15% komt op de rekening van de overheid en de burger draait op voor 10%. De drie grootste schadeposten die onder de noemer cybercrime vallen, zijn inbreuken op intellectueel eigendom (3,3 miljard euro), industriële spionage (2 miljard) en belasting- en uitkeringsfraude (1,5 miljard). Andere schadeposten bij het bedrijfsleven zijn afpersing en online diefstal van geld en van klantgegevens (tussen de half miljard en een miljard euro). Bij de consument gaat het om diefstal van persoonlijke gegevens en om phishing.
Lastige calculaties
Het is lastig om een enigszins nauwkeurige schatting te maken van de kosten van cybercriminaliteit. Een van de variabelen die zich moeilijk laat kwantificeren is de diefstal van intellectueel eigendom. Landen waarin het creëren van intellectueel eigendom belangrijk is voor economische progressie verliezen door cybercriminaliteit meer handelscontracten, banen en inkomen. Dit type cyberspionage heeft echter ook aanzienlijke gevolgen voor de nationale veiligheid. Diefstal van militaire geheimen kost een bestolen natie aanzienlijk meer dan de monetaire waarde van deze militaire technologie. Hetzelfde geldt voor het stelen van vertrouwelijke bedrijfsinformatie zoals informatie over investeringen, voorgenomen fusies of overnames, onderzoeksdata, en gevoelige informatie over zakelijke onderhandelingen. Professionele cybercriminelen verkopen dergelijke informatie aan concurrerende ondernemingen, maar gebruiken ze ook voor moeilijk te traceren manipulaties van de aandelenmarkt. Tenslotte maken lang niet alle bedrijven melding van een digitale inbraak en van de schade die zij hiervan ondervinden. Slechts 44% van de bedrijven die slachtoffer zijn maken melding van de cyberaanval.
Onder de schade van cybercriminaliteit vallen ook de alternatieve kosten (opportunity costs) en de herstelkosten (recovery costs).
- Alternatieve kosten - waarde van gemiste kansen (‘forgone activities’). Er zijn drie soorten opportunity costs: gereduceerde investering in onderzoek en ontwikkeling (R&D), risicomijdend gedrag door ondernemingen en consumenten, en verhoogde kosten van netwerkverdediging.
- Herstelkosten - kosten van afzonderlijke ondernemingen om te herstellen van cyberfraude of datadiefstal. Criminelen zijn niet in staat om alle informatie die zij stelen te monetariseren. Maar de bestolen onderneming moet maatregelen nemen om elk mogelijk misbruik van de gestolen informatie te bestrijden. De totale herstelkosten zijn vaak aanzienlijk groter dan de winst voor cybercriminelen.
Betrouwbaarheid van schattingen
Veel schattingen van de kosten van cybercrime zijn gebaseerd op slechte statistische methoden waardoor zij volledig onbetrouwbaar worden. De schattingen zijn gebaseerd op surveys van consumenten en bedrijven. Anders dan bij preferentievragen (die in opiniepeilingen worden gebruikt) vertonen numerieke surveys (zoals cybercrime surveys) bijna altijd afwijkingsfouten naar boven. Deze metingsfouten worden versterkt wanneer de onderzoekers de surveygroep opschalen naar de totale populatie.
“Suppose we asked 5,000 people to report their cybercrime losses, which we will then extrapolate over a population of 200 million. Every dollar claimed gets multiplied by 40,000. A single individual who falsely claims $25,000 in losses adds a spurious $1 billion to the estimate. And since no one can claim negative losses, the error can’t be canceled” [NYT, 15.4.12].
De data worden gedomineerd door niet geverifieerde uitschieters. In sommige studies wordt zelfs 90 procent van de schatting bepaald door het antwoord van een of twee individuen.
Upward bias van schattingen uitwerken
Zwarte cybermarkt
De handel op de zwarte cybermarkt is nu meer rendabel dan de illegale drugshandel. Een breed spectrum van cybercriminelen heeft virtuele etalages op het web gezet om databestanden en malware te kopen en te verkopen.
Het is een netwerk van sterk georganiseerde groepen die vaak verbonden zijn met traditionele criminele bendes, zoals drugkartels, mafia’s, terroristische cellen en natiestaten [RAND 2014]
In veel opzichten lijkt het op een traditionele markt: de deelnemers communiceren via diverse kanalen, plaatsen orders en ontvangen producten. Niet alleen opbrengsten van cyberinbraken verhandeld, maar ook hackinginstrumenten (malware) en diensten. Er worden diensten aangeboden die de meest ongekwalificeerde criminelen in staat stellen om tamelijk omvangrijke en geavanceerde aanvallen uit te oefenen.
De transactie in de zwarte cybermarkt worden vaak afgehandeld met digitale valuta zoals Bitcoin, Pecunix, AlertPay, PPcoin, Litecoin and Feathercoin. Veel criminele sites accepteren alleen digitaal cryptogeld vanwege hun anonimiteit en veiligheidskenmerken.
Tegelijkertijd wordt er op de zwarte cybermarkt malware verhandeld die gericht is op het stelen van bitcoin en andere digitale valuta. Aanvankelijk infecteerde criminelen de computers van hun slachtoffers en gebruikten ze voor het delven van bitcoins. Maar deze methode is nu veel minder effectief — diefstal van bitcoins belooft cybercriminelen grote winsten en volledige anonimiteit. Bij aanvallen op bitcoinbeurzen is de kosten-tot-inkomsten verhouding nog veel gunstiger [SecureList, 25.9.14].
Omdat er steeds meer diensten zijn waar de bitcoins kunnen worden witgewassen (bitwassen) wordt het voor opsporingsdiensten veel moeilijker om gestolen fondsen te achterhalen.
Concurrentie
De markt waarop cybercriminelen operen is een ‘high profit, low risk’ markt. Zo’n markt trekt snel nieuwe concurrenten aan die ook op zoek zijn naar een deel van de buit. De meeste misdaden die EC3 onderzoekt worden begaan door Russisch sprekende criminele netwerken. Het lijkt erop dat de Russen de dienst uitmaken. In fraudezaken spelen ook Roemeense en Bulgaarse bendes en rol. Maar ze krijgen snel concurrentie van criminele bendes uit andere continenten. De verwachting is dat criminelen uit Azië, Afrika en andere continenten ook in de markt stappen. Oost-Europeanen, vooral uit Russisch-sprekende landen, waren in 2013 verantwoordelijk voor 21% van de gevallen van cyberspionage. Op dat vlak worden ze al voorbijgestreefd door de Aziatische hackers. Die zijn goed voor 49% van de aanvallen.[Verizon 2014; Trouw, 8.8.14].
Specialisatie
Veel Vietnamese criminele bendes concentreren zich op hacks van e-commerce; de criminelen uit Rusland, Roemenië, Litouwen en Oekraïne focussen op financiële instellingen, terwijl Chinese cybercriminelen zich specialiseren in intellectueel eigendom en in online gaming platforms.
Meer en meer transacties verschuiven naar particuliere virtuele netwerken en het darknet. Daarbij wordt nog meer gebruik gemaakt van encryptie- en anonimiseringstechnieken die de toegang tot de meest geavanceerde delen van de zwarte markt tr beperken.
Het duistere diepe web
Het voor ons zichtbare web is slechts het topje van de ijsberg. Daaronder ligt het diepe of duistere web. Het is een deel van het web dat niet geïndexeerd kan worden door zoekmachines. Het is een plaats waar Google niet komt.
Er zijn wel zoekmachines voor het diepe web, bijv.@WalmartLabs (voorheen Kosmix).
Het diepe web representeert 90% van het internet. Het bevat grote hoeveelheden informatie die niet door zoekmachines kunnen worden gecatalogiseerd. Als je het juiste adres van de darksites niet weet, zul je ze nooit vinden. Het is niet makkelijk om deze adressen te onthouden omdat de URLs bewust zeer ingewikkeld zijn gemaakt (bijvoorbeeld www.SdddEEDOHIIDdddgmomiunw.onion).
Het diepe web bestaat uit particuliere intranetten die met wachtwoorden zijn beschermd en uit documenten die in formaten zijn geschreven die niet kunnen worden geïndexeerd.
Het diepe web is onzichtbaar en is daarom een zeer aantrekkelijke locatie voor activieiten die het licht niet kunnen verdragen: kinderporno, handel in creditcard, wapens, drugs en mensen, huurmoordenaars, prostituees etc. Het diepe web is de grootste zwarte markt die er ooit heeft bestaan. Cybercriminelen komen samen op private webfora met beperkte toegang.
|
TOR is weliswaar de meest gebruikte, maar niet de enige ingang tot het darknet. Andere diensten zijn Freenet en het Invisible Internet Project (I2P). Deze diensten bieden vergelijkbare mogelijkheden voor anonimisering, hoewel zij andere protocollen hanteren. Freenet is een volledig gedecentraliseerd peer-to-peer system (P2P). I2P is een open source anoniem communicatienetwerk dat bovenop het gewone internet werkt (‘overlay network’). Net als bij TOR wordt de communicatie via meerdere tussenliggende computers gestuurd en in telkens nieuwe lagen geëncrypteerd.
|
Het belangrijkste ingang tot het diepe web is TOR (The Onion Router). TOR encrypteert de gebruikersinformatie in diverse lagen (net als een ui) en verstuurt het naar een uitgebreid netwerk van vrijwillige servers die in de hele wereld verspreid zijn. Hierdoor wordt het bijna onmogelijk om gebruikers op te sporen of de informatie die zij uitwisselen. Het is een byzantijns systeem van virtuele tunnels die de oorsprongen en bestemmingen van data verbergen en dus de identiteit van de gebruikers.
|
Werking van TOR
Tor is een open netwerk voor anonieme communicatie. Het Tor-netwerk is bedoeld om te voorkomen dat anderen door analyse van het berichtenverkeer kunnen achterhalen wat de herkomst en bestemming van berichten is. Het netwerk is gebaseerd op onion-servers, computers die als tussenstations dienen tussen de afzender en de bestemming. Berichten reizen volgens een willekeurig pad via verschillende onion-servers naar hun bestemming, waarbij iedere server een versleutelde laag van de routinginformatie ontcijfert, vergelijkbaar met de schillen van een ui die verwijderd worden. Deze data wordt dan doorgestuurd naar de volgende server totdat de volledig ontcijferde data bij de ontvanger aankomen. Het gebruik van het Tor-netwerk is gratis.
Het Tor-netwerk stelt internetgebruikers in staat om hun IP-adres te verbergen. Het verkeer van Tor-gebruikers loopt over meerdere computers, die relays of nodes worden genoemd. Om het Tor-netwerk te laten draaien zijn er drie soorten relays: middle-relays, exit-relays en bridges.
De eerste twee relays waarover het verkeer van een Tor-gebruiker loopt zijn middle-relays. Hun enige functie is om bijvoorbeeld het verzoek om een website op te vragen en aan een andere relay door te geven. Hoewel middle-relays zich kenbaar op het Tor-netwerk maken, wordt hun IP-adres niet getoond. Het is dan ook vrij veilig om een middle-relay op te zetten.
De exit-relay is de laatste schakel in de keten waarover het verzoek loopt voordat het de uiteindelijke bestemming bereikt. Exit-relays maken zich aan het hele Tor-netwerk kenbaar. Hun IP-adres is het enige IP-adres dat de bestemming ziet, ook al is dit niet het IP-adres dat als eerste de website opvroeg. Beheerders van een Tor exit-relay kunnen door de politie worden opgepakt. Deze exit-nodes zijn echter essentieel voor het Tor-netwerk.
Tenslotte zijn er nog de bridges, relays die niet als onderdeel van het Tor-netwerk zichtbaar zijn. Bridges fungeren vooral als middel om censuur in landen te omzeilen die bekende Tor-relays blokkeren, zoals China. Het draaien van een bridge is temakelijk veilig. Zonder al deze relays kan het Tor-netwerk niet functioneren.
Bij iedere tussenstap is alleen de routinginformatie voor de voorafgaande en de volgende server in ongeëncrypteerde vorm aanwezig. Daarom is het onderweg nergens mogelijk om de oorsprong en de bestemming van het bericht te bepalen. Omdat voor elke tussenliggende gebruiker een bijkomende laag encryptie wordt toegevoegd, kent elke gebruiker slechts de versoon voor en na zichzelf. Voor de computer op de eindbestemming lijkt het alsof het bericht van de laatste onion-server komt. Bij de laatste server is alleen maar te bepalen wat de data zijn en niet waar ze vandaan komen. Omdat het Tor-programma willekeurige servers kiest waarlangs het de data verstuurt, is het heel moeilijk om een bepaalde computer af te luisteren.
Oorsprong
Tor werd in 2001 geïntroduceerd door programmeurs van MIT en het U.S. Naval Research Laboratory op een beveiligingsconferentie in Californië. Het Tor Project is verder ontwikkeld met steun van de Amerikaanse overheid. In 2010 was het programma al meer dan 36 miljoen keer gedownload. Het wordt vooral gebruikt door vredesactivisten, mensen- en burgerrechten activisten, journalisten en militairen.
Niet helemaal veilig
Zie: [NYT, 5.9.13; WT80, 3.9.13]
|
Een voorbeeld daarvan is het in 2011 gelanceerde Silk Road, een geheim web voor de koop en verkoop van allerlei soorten drugs. Naar schatting gaat er in Silk Road jaarlijks $22 miljoen om. Politiediensten stelden alles in het werk om deze illegale handel te stil te leggen. Hier en daar werden er transacties onderschept, maar het is bijna onmogelijk om het netwerk te ontmantelen of de gebruikers daarvan te traceren.
In oktober 2013 slaagde de FBI erin om om Silk Road tijdelijk te sluiten. Maar in november 2013 was Silk Road 2.0 weer online.
|
Digitaal sporenonderzoek |
|---|
In de virtuele werkelijkheid zijn er geen rokende wapens, geen voet- of vingerafdrukken die een indicatie geven over wie een misdaad heeft begaan, en hoe het delict is uitgevoerd. De opsporing van cybercriminelen verloopt primair door het achterhalen en vastleggen van digitale sporen.
Digitale sporen
Forensisch onderzoek is sporenonderzoek ten behoeve van strafrechtelijk onderzoek. Om de daders van een cybercrime op te speuren moeten de digitale sporen daarvan worden gevonden en geïnterpreteerd. Een digitaal spoor is een spoor dat wordt achtergelagen bij interacties in een digitale omgeving. Daarbij gaat het zowel om sporen die op internet en telecommunicatie worden achtergelaten, als de sporen op de apparaten die bij het delict zijn gebruikt.
Bewijzen tegen cybercriminelen kunnen dus op twee manieren worden verzameld.
- Fysieke en digitale sporen op apparaten
Als men weet welke apparatuur gebruikt is om een cybermisdaad te plegen kan deze worden onderzocht op fysieke sporen (zoals vingerafdrukken en DNA), maar ook op digitale sporen die zijn opgeslagen op computers (of onderdelen daarvan), servers, USB-sticks, laptops, tablets en mobiele telefoons.
Als er bij een cybermisdaad gebruik is gemaakt van een infecterende USB-stick dan kan deze op DNA-sporen of vingerafdrukken worden gecontroleerd. En als je weet welke computer gebruikt is, kun je daarmee hetzelfde doen. In beide gevallen is forensisch onderzoek echter zeer lastig.
Ten eerste moet het apparaat zelf worden geïdentificeerd. Als dat ooit gevonden wordt dan gebeurt dat pas veel later als de meeste sporen al verdampt zijn. Zelfs als de computer waarmee het delict is begaan gelokaliseerd wordt, dan is dat meestal niet de computer van de crimineel zelf, maar een door de crimineel gehackte computer.
Ten tweede hebben forensische onderzoekers niet zoveel tijd als de crimineel: cybercriminele operaties worden meestal weken of maanden voorbereid en worden vervolgens bliksemsnel uitgevoerd. De verdediging heeft voor het traceren van de sporen slechts een paar ogenblikken. De verbindingen tussen de aanvallende computer en een doelcomputer zijn meestal van erg korte duur. Na de aanval wordt de verbinding verbroken en de computer van het internet ontkoppeld.
Digitale sporen die op gegevensdragers zijn achtergelaten. Steeds belangrijker: gegevens uit een computer of mobiele telefoon (GSM).
- Digitale sporen achterhalen
Digitale voetsporen
|
|---|
Al onze handelingen in cyberspare laten informatie na die ons als een schaduw blijft. Die informatie ligt ingeschreven in digitalesporen. De belangrijkste voorbeelden zijn:
- tijdstip en plaats van inloggen en uitloggen op systemen;
- bezoeken van websites, discussiefora of databanken;
- zoekopdrachten;
- gebruik van anonimiserings- of encryptiemechanismen;
- gebruik van darknet;
- gemaakte of bekeken bestanden;
- e-mailverkeer;
- chat- en twitterberichten;
- alle berichten en conversaties op sociale netwerken;
- mobiele telefoonverkeer: wie belt met wie, locatie op basis van peilgegevens van GSM;
- logbestanden van een provider/server.
Mobiele sporen
Sporen van mobiele telefoons: de zendmast ziet u
Bevoegde autoriteiten kunnen telecomproviders verplichten om verkeersgegevens lten af te staan voor opsporing en veroordeling van individuen die van een misdaad worden verdacht. Daarbij gaat het over (a) wie met wie belt en sms'’t vanaf welke locatie en hoe lang; (b) wie e-mailt met wie en hoe regelmatig; (c) wie bezoekt welke websites, discussiefora, databanken en welke trefwoorden worden in zoekmachines ingevoerd.
Locatiegegevens: We weten waar jij bent
Het is niet langer ondenkbaar dat in de virtuele wereld van cyberspace werkelijk iedereen permanent wordt gevolgd. In feite gebeurt dit al: iedereen die een mobiele telefoon bij zich heeft loopt met een een volgsysteem op zak dat telkens zijn locatie doorgeeft aan telecombedrijven. Die telecombedrijven zijn wettelijk verplicht om deze informatie af te staan als de overheid daarom vraagt.
In digitale mobiele netwerken worden locatiegegevens gebruikt om de transmissie van communicatie te faciliteren. Locatiegegevens zijn gegevens waarmee de geografische positie van de eindapparatuur van een gebruiker van een elektronische communicatiedienst wordt aangegeven. Zij geven niet alleen aan waar iemand zich op welk tijdstip bevind (breedte, lengte, hoogte), maar ook in welke richting en met welke snelheid iemand zich verplaatst.
Locatiegegevens zijn een bijzondere vorm van verkeersgegevens. Alle andere verkeersgegevens hebben betrekking op het communicatieve gedrag van gebruikers. Locatiegegevens hebben ook betrekking op feitelijk gedrag op momenten dat er niet wordt gecommuniceerd [Ekker 2002b: 46].
Verkeersgegevens: We weten wie jij bent
Er is al eerder op gewezen dat de metadata over ons communicatiegedrag vaak gevoeliger informatie bevatten dan wát er wordt gezegd en geschreven. Verkeersgegevens omvatten veel meer dan: wie belt/mailt/chat/sms’t etc. wanneer hoelang en hoe vaak met wie.
Van élke techniek en élke vorm van digitale communicatie kunnen álle soorten verkeersgegevens worden opgeslagen en verzameld. Het gebeurt bij alle apparaten die we dagelijks gebruiken: computer, laptop, tablet, mobiele telefoon en smart-tv. Alle digitale communicatievormen laten sporen na die als verkeersgegevens te traceren zijn. Dit geldt voor elke website die je bezoekt, voor elke muisklik op het internet, voor elk bestand dat wordt geup- of download, voor elke e-mail die verzonden of ontvangen is, voor elke bijdrage (posting) op alle webfora, voor elk woord of beeld dat je ooit via een sociaal medium hebt verspreid in je virtuele persoonlijke netwerk, voor elke persoon waarmee je ooit contact hebt gehad via een van je mobiele communicatieapparaten, en voor elke plaats die je ooit op deze globe hebt bezocht met je mobieltje op zak. Verkeersgegevens omvatten ook het ip-nummer waarvan je gebruik maakt, de protocollen en programma’s je gebruikt, de merknaam, het type en het serienummer van het apparaat dat je gebruikt, het volume van de communicatie enz. enz.
Het aantal communicatietechnieken en de hoeveelheid gegevens die bij de verschillende communicatievormen worden gegenereerd, neemt steeds meer toe. Daarom is een blijft het lastig om een technische of juridische definitie te geven van verkeersgegevens [Ekker 2002b].
Identificatie: attributieprobleem
Wie is verantwoordelijk - lastige attributie (zie cyberoorlog).
Lokalisatie van cybercriminelen
Bij het achterhalen van digitale sporen in cyberspace wordt de programmering van het cyberdelict zelf onderzocht. Cyberdelicten vertonen vaak bijzondere methoden van programmering die kenmerkend zijn voor bepaalde (nationale of regionale) crackerculturen. Ook deze eigenschappen kunnen echter gemakkelijk worden vervalst en vertekend. Wie de verdenking van een aanval op China wil richten, kan van een Chinees hackersforum bepaalde stukjes van de kenmerkende code kopiëren en in het aanvalswapen inbouwen.
Wie profiteert?
Een cyberdelict wordt bijna altijd met een bepaald oogmerk of doelstelling gepleegd. Bij cybercriminelen is dat per definitie geldelijk gewin, illegale zelfverrijking. De eerste vraag die bij elke cybercrime gesteld moet worden is: wie profiteert ervan - Cui bono? [Cavelty/Rolofs 2012] Wat beoogt de crimineel met zijn cyberdelict te bereiken en wie profiteren daar nog meer van?
Professionele cybercriminelen kunnen een aanval zo ensceneren dat deze er uit ziet als een sabotageaanval van de Mossad op Iran of als een spionageaanval van de Chinese regering op de wapenindustrie van de V.S. Op die manier worden de werkelijke oogmerken en de identiteit van de aanvaller verhuld.
Speuren naar sporen
Openbaar bronnenonderzoek
- efficiënt zoeken
- zoekmachines en internetgidsen
- Google
- het diepe web
- zoekopdrachten
- tools
Verzamelen van sporen
- discretie
- gedocumenteerd (betrouwbaarheid)
- uitlezen (NFI)
- interpretatie
let op juridische en digitale mogelijkheden en grenzen.
Internettaps
Jaarlijks maakt de minister van Veiligheid en Justitie bekend hoeveel taps er door Nederlandse opsporingsdiensten worden ingezet ten behoeve van de opsporing van strafbare feiten. Sinds 2010 wordt daarbij ook het aantal IP- en e-mail taps bekend gemaakt. [[Maar niet over het aantal vorderingen bij sociale netwerken als Facebook en Twitter. Er worden totaalcijfers over het opvragen van gegevens verstrekt, maar dit wordt niet opgesplitst naar sociale mediatype. Het belang van opsporing en vervolging zou zich hiertegen verzetten, aldus staatssecretaris Teeven [bron]
Art. 126 WvS - internettap
In het opsporingsonderzoek wordt steeds meer gebruik gemaakt van de internettap.
Sporen verbergen en wissen
Cybercriminelen nemen steeds betere maatregelen om hun websites met criminele inhoud en hun phishing operaties.
TOR-netwerk
Het TOR-netwerk maakt het mogelijk om volledig anoniem te kunnen surfen op het internet. Via het TOR-netwerk zijn op eenvoudige wijze drugs, wapens en kinderporno te verkrijgen.
Fast flux
Fast Flux is een DNS techniek die gebruikt wordt door botnets om phishing en malware delivery sites te verbergen achter een telkens veranderend netwerk van gecompromitteerde hosts die als proxies opereren. Malware varianten die gebruik maken van deze techniek zijn «Storm Worm», «Warezov», «Alalanche» en «Wibimo»
Het basisidee is dat aan een enkele volledig gekwalificeerde domeinnaam (zoals www.politieacademie.nl), een groot aantal IP-adressen verbonden worden. Deze IP-adressen worden onderling in een hoog tempo uitgewisseld. Dit gebeurt door een combinatie van round robin — een techniek die gebruikt wordt bij load balancing— en een extreem korte time-to-live van een individueel DNS-record. Op die manier verwijst de hostname om de paar minuten naar een andere computer. Deze computers zijn in de regel geïnfecteerde computers van thuisgebruikers die middels een botnet met elkaar verbonden zijn. [Honeynet Project, 16.8.08; Tweakers.net, 19.7.07].
De detectie van een botnet kan nog moeilijker worden gemaakt wanneer er gebruik wordt gemaakt van sterke encryptie. In het Wibimo-botwerk werd elke boodschap minstens tien keer bewerkt met het encryptie-algoritme RC4. Hierdoor is de crypto-analyse van de code nog moeilijker [Darkreading, 18.2.11].
Het gebruik van deze technieken maakt het opsporen en uitschakelen van criminele websites een stuk moeilijker. Websites kunnen immers niet meer op basis van een IP-adres of via een enkele internetprovider uit de lucht worden gehaald.
Proactieve opsporing — digitaal de straat op
Opsporings- en vervolgingsinstanties werken nu meestal reactief. Eerst moet een misdaad zijn gepleegd voor het onderzoek begint. Digitale rechercheurs zouden meer proactief kunnen opereren door te surveilleren op kletskanalen, webfora, crimogene websites en mobiele netwerken om zo aanwijzingen voor ophanden zijnde delicten te verzamelen. Opsporing en vervolging zijn echter aan allerlei restricties gebonden en geografisch afgebakend die zijn vastgelegd in de wet Bijzondere Opsporingsbevoegdheden.
|
Vragen
Mag je als agent surveilleren op internet met een valse account? Mag je pedofielen in de val lokken door middel van een volledig virtueel lokmeisje? Mag je terughacken op een crimineel computersysteem of netwerk dat buiten onze landsgrenzen is gelokaliseerd? Welke regels gelden nou eigenlijk voor opsporing en vervolging op internet?
|
Hoe kan de strafrechtketen zich aanpasssen aan de grenzeloosheid van internet, zonder dat de soevereine rechten van andere staten of de vrijheidsrechten van burgers in het geding komen? De politie kampt niet alleen met een tekort aan kennis en capaciteit, maar ook aan duidelijkheid over bevoegdheden om internationaal, nationaal of lokaal opererende cyberbendes aan te pakken.
Virtuele lokpubers - proactief patrouilleren op openbare online trekpleisters
In het Nederlandse parment is in de loop der jaren meerdere keren aan de vraag opgeworpen of het inzetten van lokpubers een zinvol opsporingsmiddel kan zijn. Elke keer was het antwoord ‘nee’. Het risico van uitlokking werd te groot geacht. Na inzet van dit middel zou het niet tot een strafbare vervolging komen omdat de verdachte niet daadwerkelijk een minderjarige had verleid.
Al in 2012 bepaalde het gerechtshof dat de inzet van agenten die zich op internet voordoen als minderjarigen geen geschikt middel is bij de opsporing van grooming. In 2013 werd dit door het gerechtshof Den Haag nog eens bevestigd.
In een aantal zaken (Cuijk en Amsterdam) waarin uiteindelijk verdachten zijn aangehouden, had de politie allang informatie en aangiftes waarmee in eerste instantie niets werd gedaan. Advokaten vragen zich af: “Als de bestaande mogelijkheden al niet benut worden, waarom dan een nieuwe opsporingsmethode toevoegen?” [Sidney Smeets, VK, 16.1.14].
|
Oplopende schade
Webcam kindersekstoerisme is net zo verwoestend als fysiek misbruik. De betrokken kinderen ontwikkelen een minderwaardigheidscomplex en vertonen symptomen van posttraumatisch stresssyndroom. Ze voelen zich beschaamd en schuldig over wat ze doen en vertonen zelfdestructief bedrag en gebruiken alcohol of drugs om zich te ontspannen en hun problemen te ontvluchten. De wereldwijde vraag naar webcam kinderseks stijgt explosief, waardoor ook het aantal kindslachtoffers toeneemt. Tegelijkertijd wordt internet in ontwikkelingslanden steeds goedkoper en makkelijker toegankelijk, wat webcam kindersekstoerisme verder in de hand werkt. Volgens de VN en de FBI zijn er ieder moment 750.000 kindermisbruikers actief op internet.
|
Bij webcam-kindersekstoerisme (WKST) leggen mannen via chatrooms contact met vaak jonge kinderen in ontwikkelingslanden en vragen hen voor de webcam seksuele handelingen te verrichten tegen betaling. Volgens de hulporganisatie Terre des Hommes is het een opkomend fenomeen dat moet worden aangepakt voordat de georganiseerde misdaad zich ermee gaat bemoeien.
Om het kindsekstoerisme via de webcam in kaart te brengen gingen de onderzoekers van Terre des Hommes undercover op chatrooms. Hiervoor werd een 10-jarig virtueel Filipijns meisje ontwikkeld dat luisterde naar de naam Sweetie. Het computermodel was nauwelijks van echt te onderscheiden. Sweetie praat en beweegt zonder dat je merkt dat het om een animatie gaat.
Sweetie - het virtuele lokmeisje
|
|---|
Via het virtuele Filipijns meisje spoorde de Terre des Hommes ruim 1000 kindermisbruikers op het internet op, waaronder 20 Nederlanders. De gegevens en daden van deze misbruikplegers, uit meer dan 65 landen, werden op 4 november 2013 overgedragen aan Europol en Interpol met als doel om te worden uitgewisseld met andere landen.
Europol was niet vooraf op de hoogte gebracht van het onderzoek van Terre des Hommes. Zij waardeert de aandacht voor online kindermisbruik, maar maakt daarbij wel de kanttekening: “Criminele onderzoeken, waarbij gebruik wordt gemaakt van indringende surveillance maatregelen, moeten de exclusieve verantwoordelijkheid blijven van wetshandhavingsinstanties” [VK, 5,11.13].
Als vliegen op de stroop
Vier onderzoekers surften vanuit een loods in Amsterdam-Noord langs allerlei openbare chatsites en gaven zich uit voor Sweetie. Zij waren verrast over de resultaten:
“Zodra zij zich in chatrooms ophield en duidelijk maakte dat ze 10 jaar was en van de Filippijnen kwam, vlogen de mannen op haar af en boden ze geld. Zij kreeg direct allerlei verzoeken en vaak zeer expliciet; bijvoorbeeld of ze haar kleine zusje erbij wilde halen. We konden op die manier wel tien gesprekken tegelijk voeren, maar hielden het telkens bij twee gesprekken tegelijk” [woordvoerder Terre des Hommes, in: VK, 4.11.13].
|
Sweetie is het eerste virtuele lokmeisje dat op internet wordt ingezet om pedoseksuelen te ontmaskeren. Het digitaal geconstrueerde meisjesgezicht wordt gebruikt op online-hangplekken van kindermisbruikers. De bewegende avatar gaat via de webcam met sekscriminelen in gesprek, om deze te lokaliseren. Sweetie werd ontworpen door het Amsterdamse ontwerpbureau Lemz, in opdracht van Terre des Hommes.
In 10 weken kreeg Sweetie zo’n 20.000 gespreksverzoeken uit de hele wereld en wist ‘zij’ meer dan 1000 mannen aan zich te binden. Mannen die de fictieve Sweetie bestookten met seksuele verzoeken en zichzelf op de webcam lieten zien, werden op video vastgelegd. Met behulp van sociale media werd hun identiteit achterhaald.
De Sweetie-actie van Terre des Hommes toonde weliswaar het nut van de lokpuber aan. Maar in de Sweetie-zaak zijn nog maar weinig verdachten vervolgd [NOS, 5.2.14;]. Omdat de mannen het meisje zelf benaderden is er geen sprake van uitlokking. Maar omdat Sweetie niet uit de kleren ging en geen geldtransacties plaatsvonden, is het juridisch niet eenduidig of het hier om een strafbaar feit gaat. Het is hooguit sprake van een intentie om een kind virtueel te misbruiken. Maar zelf dat is —zoals ook projectleider Hans Guijt constateert— ontzettend moeilijk te bewijzen [Terre des Hommes, 15.12.13]. Virtuele seksuele contacten zijn alleen strafbaar wanneer het slachtoffer ook werkelijk minderjarig is. Het ‘slachtoffer’ is in dit geval echter geen minderjarig kind maar een computermodel.
|
Pleidooi voor proactief opsporingsbeleid
“De bestaande wetgeving is het probleem niet. De VN heeft wetgeving vastgesteld die kindermisbruik nagenoeg universeel strafbaar stelt. Het grootste probleem is dat de politie geen actie onderneemt totdat kindslachtoffers aangifte doen, wat bijna nooit gebeurt. Deze kinderen worden namelijk gedwongen dit te doen: ofwel door volwassenen, ofwel vanwege extreme armoede. En als ze aangifte doen, moeten ze soms tegen hun eigen familie getuigen, wat bijna onmogelijk is voor een kind.
We willen regeringsleiders dwingen tot proactief opsporingsbeleid waardoor politieorganisaties actief kunnen patrouilleren op openbare internet hotspots waar kindermisbruik plaatsvindt. Op dit moment denken misbruikplegers dat de wet niet op hen van toepassing is. Op het internet kan veel, maar het is niet wetteloos” [Hans Guijt, Terre des Hommes, 4.11.13].
Terre des Hommes roept met een wereldwijde petitie de internationale autoriteiten op om proactieve onderzoeksmiddelen in te zetten om zo een einde te maken aan webcam kindersekstoerisme [YouTube].
|
Online doorzoeking
In aanwezigheid van een officier van justitie en een rechter-commissaris mag de Nederlandse politie een huis doorzoeken. Maar een computer op afstand binnendringen is verboden. Daarmee zouden de opsporingsinstanties zich schuldig maken aan computervredebreuk, of terughacken. Maar op die manier kan wel kwaadaardige software onschadelijk worden gemaakt en achterhaald wie een specifiek delict heeft of hebben begaan.
Tot Lobith en niet verder?
Wanneer er een misdaad wordt gepleegd met behulp van een computer in het buitenland, dan heeft de Nederlandse politie geen jurisdictie om buiten de eigen landsgrenzen te opereren.
“Computercriminaliteit kan pas echt goed worden aangepakt als de Nederlandse politie op afstand in de computers van buitenlandse cybercriminelen mag kijken, en in de echt zware gevallen onschadelijk maken” [Cybercrime-officier van justitie Lodewijk van Zwieten, in: VN, 28.7.11].
Landen schenden elkaar soevereiniteit in de bestrijding van cybercrime. “Cybercops lappen internationale wetten aan laars” [Jan-Jaap Oerleman, in: De Rechtspraak, 4.4.12 — zie zijn proefschrift over cybercrime]. Deze constatering werd onderschreven door de eerder geciteerde cybercrime-offifier van justitie: de Nederlandse recherche kraakt soms buitenlandse computers en schendt daarmee de soevereiniteit van andere landen. Dat mag niet, maar het kan niet anders [De Rechtspraak, 4.4.12].
Bewijsvoering bij de strafrechter
[HERSCHRIJVEN - via Securityrecht
Het strafrecht heeft strenge regels over het gebruik van bewijs. De hoofdregel is dat het Openbaar Ministerie (OM) wettig en overtuigend bewijs moet leveren dat de verdachte het strafbare feit gepleegd moet hebben. Het bewijs mag niet met een illegale tap of door verboden dwang zijn verkregen en moet ‘overtuigend’ zijn. De rechtbank mag geen #145;gerede twijfel’ hebben over wat het bewijs nu eigenlijk bewijst.
Bij een cyberdelict bestaat het bewijs vrijwel altijd uit verklaringen of rapporten van deskundigen over wat er in opslagmedia, logbestanden en andere bestanden te vinden is. Zo’n deskundige kan computers, laptop, tablets of mobiele telefoons onderzoeken en op basis daarvan zijn conclusies trekken, waarmee de rechter zich kan laten overtuigen.
Rechter gaan af op wat hij in de logbestanden en andere bewijsstukken lezen. Maar die logbestanden en andere ICT-aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om ook als bewijs te dienen. Een van cybercrime verdachte kan beweren dat hij het niet heeft gedaan en dat een derde zijn computer heeft misbruikt. Dan worden getuige-deskundigen opgeroepen die moeten uitleggen wat voor digitale aanwijzingen er op de computersystemen van de verdachte gevonden zijn, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.
Rechters hoeven zelf geen specialistisch verstand van ICT te hebben, maar moeten wel kunnen inschatten welke deskundige de meest logische verklaring aflegt, en bij tegenstrijdige verklaringen afwegen aan welke zij het meest geloof hechten.
Forensisch bewijs
Bij strafzaken wordt het bewijs meestal veiliggesteld en geanalyseerd door een forensisch deskundige. Het Nederlands Forensisch Instituut (NFI) levert diensten aan het OM en Justitie bij strafzaken. Ook diverse private partijen kunnen voor dit doel worden ingeschakeld.
Het NFI heeft ten behoeve van bewijslevering de Forensisch-Technische normen (‘FT-normen’) opgesteld. Deze normen beschrijven eisen, voorwaarden en aanbevelingen met betrekking tot het opsporen en veiligstellen van sporen die zijn achtergebleven na een misdrijf. De meeste FT-normen zijn juridisch niet bindend (maar wel sterk aanbevolen). Enkele normen zijn direct afgeleid van wetgeving en daarmee indirect wel bindend.
Voor digitaal forensisch onderzoek zijn er nog geen FT-normen, hoewel er wel een conceptnorm is voor onderzoek aan mobiele telefoons. Ook zijn er normen voor onderzoek naar gespreksopnamen.
De resultaten die door NFI of een recherchebureau worden gepresenteerd, worden meestal voor waar aangenomen. Tenzij de tegenpartij daar eigen onderzoek tegenover stelt, zal de rechter zelden vraagtekens zetten bij de kwaliteit van het bewijs.
|
Digitale veiligheid_NL |
|---|
“blabla” [Generaal-majoor].
Ook de Nederlandse overheid beseft dat de toenemende afhankelijkheid van informatie- en communicatietechnologieën veel risico’s en dreigingen voor de sameleving met zich meebrengt. Het digitale domein wordt in toenemende mate gebruikt voor vandalisme, criminaliteit, terrorisme en oorlogsvoering. Het ontregelen van vitale informationele en communicatieve infrastructuren kan tot grote maatschappelijke ontwrichting leiden. Ook onze nationale defensie is in toenemende mate afhankelijk van betrouwbare, veilige en beschikbare ICT-netwerken. Om de inzetbaarheid van de krijgsmacht te waarborgen zal de digitale weerbaarheid van defensie versterkt moeten worden.
Slagkracht door samenwerking - NCSC
In februari 2011 stelde de Tweede Kamer de Nationale Cyber Security Strategie vast onder de titel Slagkracht door samenwerking. In deze titel is de kern van de Nederlandse strategie voor cyberveiligheid samengevat: cyberveiligheid is een dermate veelomvattend en ingewikkeld probleem dat samenwerking een absolute vereiste is. Ervaringen met eerdere verstoringen van de cyberveiligheid toonden aan dat een crisis het snelst in de kiem kan worden gesmoord wanneer overheid en bedrijfsleven de krachten bundelen. De overheid moet er voor zorgen dat alle beschikbare kennis wordt gemobiliseerd en samengebracht. Hierdoor werd het Nationaal Cyber Security Centrum (NCSC) in het leven geroepen. Zij moet de weerbaarheid van de Nederlandse samenleving in het digitale domein vergroten.
Samenwerking van Ministeries
Minstens vijf ministeries zijn bij het NCSC betrokken:
- Ministerie van Economische Zaken, Landbouw en Innovatie (ELI): gezien het economisch belang van cyberveiligheid.
- Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK): onder dit ministerie valt het beheer van de eigen ICT-systemen.
- Ministerie van Defensie: cyberveiligheid in relatie met dreigingen van cyberspionage en cyberoorlog.
- Ministerie van Buitenlandse Zaken (BZ): cyberveiligheid houdt niet op bij de landsgrenzen en vereist ook internationale samenwerking en afspraken.
- De AIVD, het Openbaar Ministerie en het KLPD.
|
Het NCSC ging in januari 2012 van start. De basis van het centrum is de samenwerking tussen publieke en private partijen. In eerste instantie worden diverse overheidspartijen bij elkaar gebracht, daarna wordt gestreefd naar aansluiting van steeds meer private partijen en wetenschapsinstellingen. Op dit manier moet het NCSC zich ontwikkelen tot een uniek samenwerkingsplatform en expertisecentrum op het gebied van cyberveiligheid. Het Ministerie van Veiligheid en Justitie is belast met de coördinatie.
Het doel van de nationale strategie van cyberveiligheid is “het versterken van de veiligheid van de digitale samenleving om daarmee het vertrouwen in het gebruik van ICT door burger, bedrijfsleven en overheid te verhogen.” Door het beschermen van een open en vrije digitale samenleving wordt de economie gestimuleerd en welvaart en welzijn verhoogd. “Een goede rechtsbescherming in het digitale domein wordt gegarandeerd en maatschappelijke ontwrichting wordt voorkomen dan wel er wordt adequaat opgetreden als het toch mis gaat.”
Om dit doel van NCSC te bereiken is gekozen voor de volgende actielijnen die in een aantal specifieke acties worden geconcretiseerd.
- Integrale aanpak door publieke en private partijen.
Om een integrale en samenhangende aanpak van cyberveiligheid te realiseren is een nieuwe netwerkgerichte samenwerkingsvorm nodig. Alle relevante partijen moeten op strategisch niveau zijn vertegenwoordigd. GOVCERT.NL, het Computer Emergency Response Team van de Nederlandse overheid is per 1 januari 2012 opgenomen in het Nationaal Cyber Security Centrum (NCSC).
|
GOVCERT richtte zich op versterking van de informatiebeveiliging binnen de Nederlandse overheid. Het team monitorde cyberdreigingen, gaf adviezen over ICT-kwetsbaarheden, waarschuwde bij cyberdreigingen en ondersteunde overheidsorganisaties bij de afhandeling van ICT-gerelateerde incidenten.
|
- Actuele dreiging- en risicoanalyses.
Het versterken van cyberveiligheid begint met inzicht in kwetsbaarheden en dreigingen. Het NCSC brengt kennis en informatie van (inter)nationale publieke en private organisaties bijeen en analyseert deze. Cyberrisico’s worden in kaart gebracht en er worden capaciteiten geïdentificeerd die versterkt moeten worden om dreigingen te voorkomen en op verstoringen te kunnen reageren.
- Weerbaarheid tegen ICT-verstoringen en cyberaanvallen
Om ICT-producten en -diensten veilig te kunnen gebruiken worden nieuwe regelgeving voorgesteld met betrekking tot de verantwoordelijkheid van telecombedrijven voor de continuïteit van vitale telecommunicatie-infrastructuur. De overheid stimuleert het gebruik van de gangbare minimale ICT-beveiligingsstandaarden op basis van good practices. Een belangrijke prioriteit daarbij is het vergroten van de weerbaarheid van de overheid zelf: informatiebeveiliging en voorkoming van (digitale) spionage.
- Reactiecapaciteit om ICT-verstoringen en cyberaanvallen
De NCSC wil het vermogen om ICT-verstoringen en cyberaanvallen snel en effectief te bestrijden vergroten. Daarvoor wordt een Nationaal Crisisplan ICT opgesteld, inclusief een oefenplan. In crisissituaties adviseert de ICT Response Board (IRB) over maatregelen om grootschalige ICT-verstoringen tegen te gaan of te bestrijden.
- Opsporen en vervolgen van cybercriminaliteit.
Om veelal grensoverschrijdende cybercriminaliteit te bestrijden, wordt de benodigde expertise aangetrokken worden specialisten aangemoedigd hun expertise met elkaar te delen.
- Stimuleren van onderzoek en onderwijs over vraagstukken van cyberveiligheid.
De overheid stimuleert wetenschappelijk en toegepast onderzoek naar veiligheidsproblemen en -oplossingen. Bestaande onderzoeksprogramma’s worden beter op elkaar afgestemd.
Het NCSC kan haar doelstellingen en actielijnen alleen realiseren wanneer het kan beschikken over voldoende betrouwbare informatie over alle relevante cyberaanvallen. Daarom zouden eigenaren/beheerders van systemen die voor de samenleving van vitaal belang zijn, verplicht moeten worden om veiligheidsincidenten te melden in plaats van onder de pet te houden. Dit uitgangspunt is niet omstreden, maar wel de vraag wat sectoren van ‘vitaal belang’ zijn waarvoor zo’n meldplicht (security breach notification) zou moeten gelden.
Het NCSC moet niet alleen goed geïnformeerd zijn, maar zou ook over voldoende middelen moeten beschikken om in te grijpen en te ondersteunen daar waar dat nodig is. Als een cyberaanval te groot is om zelf op te lossen moeten bedrijven en instellingen een alarmcentrale kunnen bellen die hen helpt om de digitale brand te blussen. Zo’n digitale brandweer moet – zoals ‘cryptoron’ van Fox-it zei – daadwerkelijk achter de toetsenborden gaan zitten van die organisatie, om de hacker zo snel mogelijk buiten te sluiten en ervoor te zorgen dat de continuïteit van de dienstverlening van die vitale organisatie niet in gevaar komt. De interventiemogelijkheden van het NCSC zijn nog beperkt en de vraag is hoe groot de slagkracht van de digitale brandweer zal moeten zijn.
Digitale huiszoeking — Politieel hackrecht
Internationaal opererende cybercriminelen zijn de politie en justitie meestal te slim en te snel af. Om dit te veranderen stelde minister Opstelten van Veiligheid en Justitie in oktober 2012 voor om politie en justitie vergaande bevoegdheden te geven om in te breken op de computers van cybercriminelen. De politie zou de bevoegdheid krijgen om heimelijk software te installeren op de computers van verdachten van ernstige misdrijven. Op die manier kunnen hun computers op afstand worden doorzocht, ongeacht in welk land die staan.
Minister Ivo Opstelten
|
|---|
De minister stelde voor om ook het helen van gestolen digitale informatie —zoals persoons- of creditcardgegevens— strafbaar te stellen. In het verleden kon de politie alleen maar in actie komen als er een aankoop werd gedaan met gestolen creditcards of als er aantoonbaar misbruik werd gemaakt van gestolen persoonsgegevens. In dit voorstel wordt ook het in bezit hebben, overdragen en kopen van dergelijke gegevens strafbaar gesteld. Daarom zou de politie de bevoegdheid moeten krijgen om gestolen digitale informatie die op computers van criminelen staan op afstand te vernietigen of ontoegankelijk te maken. Agenten moeten dus kunnen inbreken op servers waarmee cyberaanvallen worden uitgevoerd.
Met deze speciale bevoegdheden wordt het team High Tech Crime van de Nationale Recherche in staat gesteld om met betere (hoewel geen gelijke) wapens de georganiseerde cybercriminaliteit effectief te bestrijden. Het overheid was zeer zwak toegerust om de technologische ontwikkelingen bij te houden en een dam op te werpen tegen cybercriminaliteit. De minister wil een wettelijk kader scheppen dat een einde maakt aan een situatie die al vaker werd omschreven als het wilde westen, waarin de politie en justitie maar wat doen, zonder dat daar duidelijke rechtsregels voor zijn. In het uiteindelijke wetsvoorstel gelden strikte voorwaarden voor het toepassen van de nieuwe bevoegdheid om terug te hacken, zoals een voorafgaande rechterlijke toetsing, certificering van de software die wordt gebruikt en de logging van gegevens [Ministerie van Veiligheid en Justitie, 1.5.13].
Aan deze voorstellen zijn echter ook risico’s verbonden die niet verzwegen mogen worden en waarvoor wegen gezocht moeten worden om deze zo klein mogelijk te houden. Ik vat die risico’s puntsgewijs samen.
- Ongevraagd opereren in buitenland
Zowel conventionele als cybercriminelen maken behendig gebruik van het internet en van mobiele communicatie. Zij leggen hun plannen en gestolen digitale waren niet vast op een computer die bij hen thuis op de werkkamer staat. Criminelen verplaatsen hun gegevens vliegensvlug over het internationale internet en zetten deze het liefst op een goed versleuteld computernetwerk in een ander land dan waarin zij wonen. De politie kan alleen op eigen grondgebied vrijelijk haar recherchewerk verrichten. Natuurlijk kunnen politie en justitie een internationaal rechtshulpverzoek indienen, maar meestal neemt dat te veel tijd in beslag. De criminelen hebben dan allang de gezochte informatie naar een ver land verplaatst.
In cyberspace is het territorialiteitsbeginsel vervaagt omdat het niet kan worden toegepast als de exacte locatie van de computersystemen van cybercriminelen onduidelijk is en belastende gegevens versnipperd worden opgeslagen op verschillend grondgebied (jurisdicties). Door het internationale karakter van computercriminaliteit is er behoefte aan versterking van de bevoegdheden tot grensoverschrijdende toegang tot gegevens. Ook zonder deze bevoegdheden verschaffen opsporingsdiensten van diverse landen zich in de praktijk wel degelijk toegang tot gegevens die zijn opgeslagen op computersystemen die zich op het grondgebied van andere staten bevinden [Ministerie van Veiligheid en Justitie, 1.5.13, p. 35].
- Privacy
De privacy van burgers wordt in eerste instantie gewaarborgd doordat de rechter-commissaris een machtiging moet geven voordat opsporingsambtenaren of de officier van justitie op een computer van een verdachte mogen inbreken. Die machtiging mag alleen worden gegeven bij misdrijven van “een zekere ernst” — het moet gaan om een misdaad die een ernstige inbreuk op de rechtsorde oplevert. Op het misdrijf waarvan iemand wordt verdacht moet ten minste een maximale gevangenisstraf van vier jaar staan. Uiteraard is dit minimum voor discussie vatbaar. Sommige juristen en juridisch onderlegde politici vinden die vier jaar veel te laag.
Het inbreken in een computer is iets anders dan het verrichten van een huiszoeking of het afluisteren van een telefoon. Een huiszoeking is meestal eenmalig en is bij de verdachte direct bekend. Bij het aftappen van telefoons worden gesprekken afgeluisterd tussen een persoon die van een strafbaar feit verdacht wordt en telkens één onverdacht ander persoon. Als men inbreekt op een computer zijn daar alle communicaties (e-mail, VoIP, chatten, sociale media, wifi, VoIP) te vinden die een verdachte had of heeft met talloze onverdachte anderen. Computerbreuk heeft dus veel verdergaande gevolgen dan een huiszoeking of een telefoontap.
|
Notificatieplicht
De notificatieplicht — ex artikel 126bb Sv.— houdt in dat de Officier van Justitie op een bepaald moment, wanneer het onderzoek dit toelaat, de verdachte wiens telefoon is getapt hiervan op de hoogte wordt gesteld.
Onderzoek wijst echter uit dat deze plicht al op grote schaal wordt overtreden.[Beijer 2004]. Overtredingen van deze notificatieplicht worden niet opgenomen in het dossier of andere rapportages. Daarom zijn er geen gevolgen voor het niet naleven van dit artikel en kan van een echte waarborg dus niet worden gesproken.
Bovendien kent de Wet BOB ook een wettelijke ontsnappingsmogelijkheid, die is gecreëerd voor het Openbaar Ministerie. Artikel 126dd Sv, sluit de notificatieplicht uit indien het verkregen bewijs door de telefoontap nog gebruikt kan worden in een ander onderzoek. De wetgever laat hierbij een ruime interpretatie van het artikel toe [Tempelman 2010].
|
De Electronic Frontier Foundation (EFF) gaf een verklaring uit waarin zij het hackplan van Opstelten een schandalig voorstel noemde. “Dit voorstel laat de Nederlandse politie directe aanvallen tegen internationale clouddiensten uitvoeren. Het laat de Nederlandse politie exploits en malware tegen privacysystemen zoals het Tor-netwerk gebruiken, waardoor honderduizenden Tor-gebruikers in gevaar worden gebracht. Samengevat, het laat de Nederlandse politie cyberoorlog-methodes gebruiken om Nederlandse wetgeving voor iedereen te laten gelden, waar ze ook wonen.”
De burgerrechtenbeweging vreest dat het voorstel van Opstelten een domino-effect zal krijgen. Hoe zou de wereld er uitzien als de politie van elk land zou mogen inbreken in computers in andere landen om haar eigen nationale wetgeving met bruut geweld op te leggen? “We zouden een golf van aanvallen overal ter wereld zien wegens godslastering, haatzaaierij, belastingontduiking, het bevorderen van homoseksualiteit, het bekritiseren van staatshoofden zoals de koning van Thailand of Ataturk, of meningsverschillen over copyrightschending.” Dat zou een bedreiging zijn voor de stabiliteit en bruikbaarheid van het hele internet.
- Boemerang
Als de Nederlandse politie en justitie beginnen om servers in het buitenland te hacken zonder rechtshulpverzoek, dan zouden andere landen dat ook in Nederland kunnen doen. Stel dat de overheden van Iran of China ook zouden besluiten om in te breken op in Nederland gelokaliseerde computernetwerken om hun eigen criminelen en dissidenten op te sporen en te achtervolgen. Wat zou de Nederlandse minister van Veiligheid en Justitie daar dan nog tegen kunnen inbrengen?
- Omkeerbaarheid
Politie mag dus spyware installeren op computers van zware criminelen. Maar deze spyware kan vervolgens ook weer door criminelen worden gehackt, zoals uit een onderzoek van de Chaos Computer Club in Duitsland is gebleken [Van Daalen 2012].
De Nederlandse politie krijgt in het wetsvoorstel de bevoegdheid zelf met (gecertificeerde) spyware in cyberspace te opereren. Maar internetters verwachten van anti-virus software dat deze hen tegen alle malware beschermd. Fabricanten van anti-virus software die een gecalculeerde uitzondering maken voor bepaalde typen —door de overheid gebruikte— spyware zullen zich echter snel uit de markt prijzen. Zelfbewuste netburgers zullen op zoek gaan naar alternatieven waarmee zij zich tegen élke vorm van digitale spionage (en dus ook tegen policeware) kunnen beschermen.
|
Legitimatie legende
Om de vergaande bevoegdheden van de politie te legitimeren wordt verwezen naar de noodzaak om verspreiding van kinderporno tegen te gaan. Dat is veel deskundigen in het verkeerde keelgat geschoten. Een voorbeeld daarvan is Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen:
“Kinderporno wordt als argument misbruikt wordt om absurde bevoegdheden te introduceren. Net zoals tien jaar geleden ‘terrorisme’ te pas en te onpas gebruikt werd. (…) De minister zet de noodzakelijke samenwerking met de hackersgemeenschap onder druk zet door ethische hackers te achtervolgen. Het cybersecuritybeleid dreigt te mislukken; de minister beweegt zich als een olifant in de porseleinkast” [NRC, 6.12.12].
|
De overheid krijgt er op deze wijze belang bij om de kwetsbaarheden van onze hard- en software niet te publiceren en niet te repareren. Om de effectiviteit van de policeware te waarborgen zal de overheid deze kwetsbaarheden geheim houden om ze te exploiteren. “Dit staat op gespannen boet met het algemeen belang van een betrouwbare digitale infrastructuur” [Jacobs 2012].
Kortom: het voorstel van Opstelten is ondoordacht, gaat verontrustend ver en is mogelijk in strijd met de Europese mensenrechtenwetgeving. Een dergelijke wetgeving zou het internet niet veiliger maken. Integendeel, de voorgestelde wetgeving maakt —zoals de EFF terecht concludeert— het internet tot een nog gevaarlijker plek.
In antwoord op Kamervragen van D66 ging de minister nader in op het hacken van servers door de politie terwijl de ‘terughackwet’ nog niet door de Kamer is behandeld. Momenteel heeft de politiek geen wettelijke bevoegdheid om te hacken. Maar volgens de minister is het hacken van de Blackshade-servers toch gedekt door de huidige wet. Hij verwijst daarbij naar artikel 125i van het Wetboek van Strafrecht waarin de bevoedheid wordt geregeld tot
“het doorzoeken van een plaats ter vastlegging van gegevens die op deze plaats op een gegevensdrager zijn opgedragen of vastgelegd”
Dit artikel slaat op het fysiek binnentreden en doorzoeken van een plaats en eventueel in beslagnemen van computerhardware. Hacken gebeurt echter op afstand en heimelijk.
Enerzijds erkent de minister — in zijn beantwoording van Kamervragen over gebruik van spyware door de politie— dat “een heimelijke doorzoeking van gegevensdragers” binnen de wettelijke kaders niet is toegestaan [Antwoorden Kamervragen, 6.10.14]. Anderzijds rekt hij een speciale opsporingsbevoegdheid zo ver op om nu nog illegale acties van politieautoriteiten te dekken. Voor juristen is deze spagaat zorgwekkend [Computerworld, 30.20.14].
Team High Tech Crime (THTC)
Primaire probleem bij de bestrijding van cybercrime is gebrek aan kennis bij politie en justitie [Stol 2004:74; Stol e.a. 2012:25]
Technologische ontwikkelingen gaan snel - lastig om criminelen voor te blijven - we moeten harder lopen. Politie en justitie zullen meer moeten investeren om bij te blijven, vooral in digitale recherche.
Het Team High Tech Crime valt onder de dienst Landelijke Recherche binnen de Landelijke Eenheid(voorheen de KLPD).
Kreeg meer cybercops [in 2013 van 30 naar 60), maar kan volgens planning in 2014 nog steeds slechts twintig zaken behandelen. Maar niet meer mensen: maar intelligentie en een intelligent netwerk op zetten.
Minister Opstelten (veiligheid en Justitie) belooft een forse toename van het aantal cybercrime onderzoeken. In 2018 moeten dat er al 360 zijn. Voor 2015 wordt voorzien in 200 onderzoeken [Telegraaf, 16.9.14].
Er zijn nu permanent twee FBI-agenten bij de KLPD gestationeerd.
Nu 60 cybercops op werken nu 5.000 mensen bij KLPD - dus 1% van totaal.
Extra cybercops? Zoeken naar grenzen van de wet, een wet die gemaakt is toen er nog geen internet was.
Internet Research Netwerk (iRN)
Handmatig, versnipperd internetonderzoek door instellingen van openbare orde en veiligheid (OOV) is niet alleen zeer arbeidsintensief, maar biedt ook onvoldoende kwaliteit en resultaten. Daarvoor is de hoeveelheid informatie op internet en mobiele communicatie gewoon te snel, te omvangrijk en te complex geworden. Er is een toenemende behoefte aan software voor geautomatiseerd en intelligent internetonderzoek dat in staat is om in cyberspace de digitale sporen van een misdaad te kunnen achterhalen en deze forensisch geborgd te documenteren.
Het iRN is een provider voor politie en andere overheidsdiensten die onderzoek willen doen op internet zonder hun visitekaartje achter te laten. Het netwerk schermt de identiteit af en zorgt ervoor dat onderzoekers snel aan relevante informatie komen door dwarsverbanden te leggen en gegegevens te bundelen. Het iRN slaat onderzoeksactiviteiten op forensisch verantwoorde wijze op zodat opsporingsinformatie toetsbaar is (de gebruikte bronnen worden op betrouwbare wijze vastgelegd en kunnen worden gebruikt als bewijsmateriaal in opsporingsonderzoeken of voor contra-expertise).
|
Voor een dubbeltje op de eerste rij
Alle software van iRN is open source en dus vrij van licentiekosten. Alle systemen zijn goed schaalbaar zonder hoge bijkomende kosten.
|
Op basis van de big data technologie voor onderzoek van grote hoeveelheden informatie ontwikkelde iRN volgens de scrum methode toepassingen voor internet onderzoek. Deze iColumbo
technologie wordt kosteloos gedeeld met andere overheidsdiensten. iRN voorziet gebruikers bij alle aangesloten overheidsdiensten voortdurend van nieuwe en verbeterde toepassingen en kennis.
FinFisher in Nederland
Politiespionnen en waakhonden
Ook in Nederland wordt gebruik gemaakt van de spyware FinFisher. In Nederland staan minstens twee Command & Control servers die de spyware aansturen [Citizens Lab, 13.3.13]. Beide servers staan bij de hoster Tilaa in Amsterdam. Door het gebruik van deze hoster leek het onwaarschijnlijk dat Nederlandse opsporingsdiensten achter deze afluisteroperatie zaten.
Sinds 2008 gebruikt de Nederlandse politie Trojans en spyware om de pc’s van verdachten af te tappen [BNDeStem, 17.5.09; Webwereld, 19.5.08]. De producent van de omstreden Bundestrojaner van de Duitse politie, het Keulse bedrijf Digitask, verklapte dat de spyware ook aan Zwitersland, Oostenrijk en Nederland is verkocht [DW; Webwereld, 12.10.11].
De meest respectabele strafrechtsgeleerden veegden de vloer aan met de legaliteit van de gebruikte afluistermethode.:
“De wet schrijft voor dat burgers moeten weten welke opsporingsmethoden onder welke omstandigheden mogen worden gebruikt. Bij bijvoorbeeld telefoontaps is dat wettelijk geregeld. Bij deze vorm nog niet. In een rechtszaak is het dan ook maar de vraag of zo verkregen bewijslast standhoudt” [Theo de Roos, hoogleraar straf- en strafprocesrecht aan de Universiteit van Tilburg].
In 2011 werd bekend dat de Unit Interceptie van het Nederlandse KLPD in een “zeer beperkt aantal gevallen” spyware injecteert op pc’s van verdachten. In een brief aan de Tweede Kamer verklaarde minister van Veiligheid en Justitie Ivo Opstelten: “De Unit Landelijke Interceptie van het Korps Landelijke Politiediensten (KLPD) beschikt over software die geïnstalleerd kan worden op de computer van een verdachte en waarmee ten behoeve van opsporingsdiensten toegang kan worden verkregen tot die computer en of gegevens daarvan kunnen worden overgenomen.” Maar de minister verschafte geen informatie over welke specifieke software opsporingsdiensten beschikken. Dit zou “een onaanvaardbaar risico voor de inzetbaarheid van die middelen” vormen [Antwoorden op Kamervragen, 13.12.11; Webwereld, 13.12.11].
De slimme waakhond van de vrijheidsrechten van Nederlandse internetburgers, Bits of Freedom (BoF), ondernam juridische stappen om de politie (KLPD) te dwingen openheid te geven — met beroep op de Wet Openbaarheid van Bestuur (WOB) — over het gebruik van spyware door opsporingsdiensten [Webwereld, 8.10.12]. BoF wil weten wat de software is “die door opsporingsdiensten heimelijk geïnstalleerd kan worden op een digitaal apparaat van een verdachte (zoals computers, tablets, mobiele telefoons, routers en printers) en waarmee, al dan niet op afstand, toegang verkregen kan worden tot dit apparaat, gegevens van dit apparaat kunnen worden overgenomen en dit apparaat op afstand bestuurd kan worden.” Maar echte antwoorden werden door de minister niet gegeven.
Met de billen bloot?
Op 7 augustus 2014 verscheen plotseling een enorme hoeveelheid technische en klanteninformatie van Gamma International, de maker van FinFisher. Duitse burgerrechtenactivisten keerden het wapen om en bespioneerde het spionagebedrijf. Zeer vertrouwelijke informatie over de verschillende spionagemodules van FinFisher en over de clientele van Gamma werden openbaar gemaakt (omvang: 40GB).
Uit de door Wikileaks gelekte documenten blijkt dat in bijna alle landen gebruik gemaakt wordt van de FinFisher technologie. Ook de Nederlandse politie maakt al sinds 2012 gebruik te maken van het programma. In de gehackte klantenbestanden werd een versleutelingscode gevonden die toebehoort aan een lid van de Nationale Eenheid (voorheen: KLPD), de landelijke politie in Driebergen. De twee licenties lopen van 2012 tot 2015 en zijn geregistreerd met de username 20FEC907. De licenties voor FinSpy en FinSpy Mobile kosten beide €202.200. In totaal besteedde de Nederlandse politie €2,3 miljoen aan de spionage software van Gamma [Wikipedia: SpyFiles 4; VK, 8.8.14; Tech Worm, 16.9.14].
Kamerlid Sharon Gesthuizen (SP) stelde een aantal pertinente vragen over het gebruik van deze omstreden spionagesoftware. Zij wilde van de Minister van Veiligheid en Justitie weten of de Nederlandse politiek daadwerkelijk gebruik maakt van FinFisher. Het antwoord van Minister Opstelten liet zich raden. Enerzijds erkent hij dat “de politie beschikt over software die fysiek geïnstalleerd kan worden op de computer van een verdachte, waarmee ten behoeve van opsporingsdiensten
toegang kan worden verkregen tot die computer en waarmee gegevens daarvan kunnen worden overgenomen.”. Anderzijds benadrukt hij dat dit middel alleen mag worden ingezet voor het opnemen van vertrouwelijke informatie en dat het wettelijk niet is toegestaan dit middel in te zetten voor “heimelijke doorzoeking van gegevensdragers”.
Over de aard van de gebruikte software wil de minister helemaals niets loslaten. “Het verstrekken van informatie over welke specifieke software de opsporingsdiensten van de politie beschikken, testen en gebruiken brengt grote risico’s met zich mee voor de inzetbaarheid van die middelen. De verwerving van dergelijke middelen vindt bij de politie onder geheimhouding plaats. Ik kan hier derhalve geen nadere informatie over verstrekken.”
Burgerinitiatieven
- Meldpunten:
- Zelfregulatie
- Burgerinitiatief
Trends in cybercrime
Cijfers en cijferreeksen
Fraude in betalingsverkeer
Sinds 2012 zet zich de dalende trend in fraude in het betalingsverkeer is een populaire criminele bezigheid. Sinds 2012 vertoont de fraude in het betalingsverkeer een sterke daling. In het eerste half jaar van 2014 naar het met 34% af ten opzichte van de tweede helft van 2013 [NVB, 24.9.14].
| |
Schade door fraude
betalingsverkeerin |
Schade door fraude
met internetbankeren |
Schade als
gevolg van skimming |
| |
in miljoen euro |
| 2012 |
81,1 |
|
|
| 2013 |
33,3 |
|
|
| 2014 (half jaar) |
9,5 |
2,1 |
0,64 |
De belangrijkste fraudecategorieën in het betalingsverkeer zijn fraude met internetbankieren en skimming van betaalpassen. Beide categorieën zijn in de eerste helft van 2014 sterk afgenomen met resp. 54 procent en 28 procent.
De schade als gevolg van skimming (kopiëren van magneetstrip van betaalpas) bedroeg in het piekjaar 2011 nog 38,9 miljoen euro. Daar is nog maar nauwelijks iets van over: 640.000 euro in de eerste helft van 2014. Door de invoering van het nieuwe pinnen met gebruik van de EMV-chip in plaats van de magneetstrip is skimming nog maar zeer beperkt mogelijk. Sinds begin 2012 is het in principe onmogelijk om in Europa geld op te nemen met geskimde kaarten. In de eerste helft van 2014 werden er slechts 1.000 kaarten geskimd.
De fraude met internetbankieren neemt af omdat banken steeds beter in staat zijn om (pogingen tot) fraude vroegtijdig te detecteren en te voorkomen. Het preventief blokkeren van buitenlandoverboekingen binnen internetbankieren heeft sterk bijgedragen aan de daling van de skimmingschade. Door geoblocking wordt de magneetstrip buiten Europa standaard uitgeschakeld. Sinds 2013 ontstaat vrijwel alleen nog schade door het in niet-EVM landen skimmen van Nederlandse passen, direct gevolgd door geldopnames.
De meeste schade bij internetbankieren werd veroorzaakt door phishing: 1,7 miljoen euro. Ten opzichte van de tweede helft van 2013 is dat een daling van 47%. Ook de schade als gevolg van malware nam fors af met 77% tot 280.000 euro. Samen met het NCSC proberen banken phishing sites uit de lucht tehalen.
|
Skimming
Skimming is een vorm van betaalpasfraude. Criminelen kopiëren ongemerkt de magneetstrip van een betaalpas en bemachtigen de pincode. Vervolgens maken ze een kopie van de pas waarmee geld wordt opgenomen en/of betaald in binnen- en buitenland.
Shouldering
Shouldering is het over de schouder meekijken bij het invoeren van de pincode, gevolgd door het stelen van de pinpas.
|
Middenstanders als cybercrimineel doelwit
|
Europa |
|---|
“Step up the fight against cybercrime and the criminal misuse of the internet by organised crime groups” [Prioriteit 4 van het EU bebelid t.a.v. georganiseerde en internationale misdaad].
EC3
Zonder geïnstitutionaliseerde samenwerking tussen de nationale opsporings- en vervolgingsautoriteiten zal Europa de strijd tegen cybercriminaliteit zeker verliezen.
In september 2010 kondigde de Europese Commissie nieuwe maatregelen aan die ervoor moeten zorgen dat Europa zich kan verdedigen tegen aanvallen op zijn belangrijkste informatiesystemen. De nadruk lag daarbij op de aanpak van nieuwe vormen van computercriminaliteit [Europese Commissie, 30.9.11]. UITWERKEN
Op 11 januari 2013 werd in Den Haag het nieuwe Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) operationeel. EU-commissaris voor Binnenlandse Zaken Cecilia Malmström: “Het Europees Centrum voor de bestrijding van cybercriminaliteit is een belangrijke versterking van de capaciteit van de EU om cybercriminaliteit te bestrijden en een vrij, open en veilig internet te verdedigen. Cybercriminelen zijn slim en snel in het oppikken van nieuwe technologieën voor criminele doeleinden; het Europees Centrum voor de bestrijding van cybercriminaliteit zal ons helpen slimmer en sneller te worden in het helpen voorkomen en bestrijden van hun misdrijven” [Europese Commissie, 9.1.13]. Europese politiekorpsen kunnen steunen op de enorme forensische capaciteit van EC3.
Het EC3 concentreert zich op illegale activiteiten die georganiseerde criminele benden via het internet uitvoeren, met speciale aandacht voor aanvallen op online bankieren en andere financiële activiteiten via het internet, exploitatie van kindermisbruik via het internet en misdrijven die gericht zijn tegen de kritieke infrastructuur en informatiesystemen in de EU.
Het EC3 stimuleert onderzoek naar cybercriminaliteit en de opbouw van opsporingscapaciteit bij rechtshandhavingsinstanties, rechters en openbare aanklagers. Het beoordeelt dreigingen, analyseert tendensen, stelt prognoses op en stuur vroegtijdige waarschuwingen uit. Het EC3 biedt EU-landen operationele ondersteuning en biedt analytische en forensische deskundigheid van hoog niveau.
Wat doen ze aan ‘high volume, low impact’ misdaad?
Europol — J-CAT
Cybercrime experts van politiediensten uit de hele wereld komen samen in een nieuw orgaan: de Joint Cybercrime Action Taskforce (J-CAT) die op jacht gaan naar de slimste online criminelen. Het team is gebaseerd in het European Cybercrime Centre (EC3) bij Europol
Het team coördineert onderzoek naar grootschalige dreigingen, inclusief virussen die inloggegeven van banken stelen en grote criminelen — met name degenen die crimeware verhandelen en persoonlijke data verkopen op ondergrondse webfora.
Eurojust — gerechtelijke samenwerking
Eurojust is een orgaan van de Europese Unie dat in 2002 werd opgericht en dat gevestigd is in Den Haag. Het ondersteunt de coördinatie en samenwerking tussen de justitiële instanties van de lidstaten in de strijd tegen grensoverschrijdende zware criminaliteit, zoals computercriminaliteit, fraude, corruptie, witwassen van geld en milieucriminaliteit.
Daarnaast moet Eurojust bijdragen aan het oplossen van jurisdictiegeschillen in gevallen waarin verscheidene nationale autoriteiten bevoegd zijn in een specifieke zaak een opsporingsonderzoek of vervolging in te stellen. Het moet de uitvoering van internationale justitiële instrumenten, zoals het Europees Aanhoudingsbevel, vergemakkelijken door het instellen van gemeenschappelijke onderzoeksteams en het financieren van de operationele middelen van die teams.
Via Eurojust kunnen de nationale autoriteiten informatie uitwisselen, wederzijdse rechtshulp bieden en personen die verhoord moeten worden, uitleveren. Eurojust voldoet aan verzoeken om bijstand van bevoegde nationale autoriteiten van de lidstaten. Omgekeerd kan Eurojust de lidstaten verzoeken om naar bepaalde feiten een onderzoek of vervolging in te stellen.
Per EU-land is een openbare aanklager, rechter of politieambtenaar in het agentschap vertegenwoordigd.
De taak van Eurojust om de effectiviteit en efficiency te verbeteren van de nationale opsporings- en vervolgingsautoriteiten in de strijd tegen ernstige grensoverschrijdende en georganiseerde misdaad en om criminelen snel en doeltreffend voor het gerecht te brengen.
Europese wetgeving
Om computercriminaliteit beter te bestrijden vonden de Europese Commissie en het Europese Parlement het nodig computerdelicten binnen de EU te harmoniseren en maximale gevangenisstraffen voor te schrijven. In het bijzonder maken zij zich zorgen over de opkomst van botnets, de economische schade dat cybercrime kan veroorzaken en de ontwrichtende gevolgen die aanvallen op vitale IT infrastructuren kunnen hebben.
De Richtlijn over aanvallen op informatiesystemen van 12 augustus 2013 moest binnen twee jaar in de nationale wetgeving worden geïmplementeerd. De richtlijn betreft vooral het materieel strafrecht. Dat zijn wetten ten aanzien van het functioneren van informatiesystemen waarbij het gaat om vertrouwelijkheid van gegevens, de integriteit van informatiesystemen en de beschikbaarheid van gegevens, programma’s en diensten. In de richtlijn wordt benadrukt dat geïnfecteerde computersystemen die samen een botnet vormen veel schade berokkenen binnen de lidstaten.
“De richtlijn is er onder meer op gericht strafrechtelijke straffen in te voeren voor de fase waar de „botnet” tot stand wordt gebracht, namelijk wanneer controle op afstand over een aanzienlijk aantal computers tot stand wordt gebracht door deze door middel van gerichte cyberaanvallen te besmetten met kwaadaardige software. (...) De lidstaten kunnen bepalen wat overeenkomstig hun nationaal recht en hun nationale praktijk onder ernstige schade wordt verstaan, zoals de ontregeling van systeemdiensten van groot openbaar nut, het veroorzaken van aanzienlijke financiële schade of het verlies van persoonsgegevens of gevoelige informatie” [EU Richtlijn, punt 5].
De Europese Commissie wil botnets bestrijden door de strafbare gedragingen te harmoniseren en minimale straffen voor te schrijven. Voor delicten zoals computervredebreuk (hacking), gegevensaantasting (malware) en DDoS-aanvallen wordt een maximale gevangenisstraf voorgeschreven van tenminste 2 jaar.
Artikel 9 van de Richtlijn schrijft een strafverzwaring van een maximale gevangenisstraf van ten minste vijf jaar voor bij computerdelicten die (i) in georganiseerd verband worden gepleegd, (ii) ernstige schade veroorzaken (met bijvoorbeeld een botnet) of (iii) gericht zijn tegen tegen vitale infrastructuren.
|
Nomadische gedachten |
|---|
Leven met onzekerheden
Alle beschrijvingen en analyses van cybercriminaliteit zijn fundamenteel onnauwkeurig. Het ligt in de aard van iedere crimineel om niet alleen de sporen van zijn of haar misdaad te wissen, maar om daarover ook te zwijgen. Deze heimelijkheid is noodzakelijk om opsporing en strafvervolging te vermijden (verkleinen van de pakkans).
Technologiebedrijven praten niet graag openlijk over de kwetsbaarheden van de apparatuur en software die zij verkopen. Aanvallen op computersystemen en netwerken van ondernemingen worden meestal niet gerapporteerd uit angst dat hierdoor het vertrouwen aandeelhouders en consumenten kan afbreken [Webwereld, 2.3.13]. Beveilingsbedrijven doen er meestal het zwijgen toe als weer eens blijkt dat zij de digitale veiligheid van organisaties niet kunnen garanderen. De burgers die slachtoffer worden van een cybermisdaad doen vaak nog steeds geen aangifte bij de politie [Warner 2014].
Mensen die een misdaad in of via cyberspace voorbereiden of uitvoeren vertellen ons nooit precies met welke methode zij zichzelf illegaal verrijken en welke instrumenten zij daarvoor gebruiken. Elke cybercrime is omringd met een dikke mist van geheimhouding.
Daarom is het niet makkelijk om goede adviezen te geven aan burgers die zichzelf in cyberspace tegen criminelen willen beschermen en om effectieve methoden te ontwikkelen om cybercriminelen de pas af te snijden en hen strafrechtelijk te vervolgen.
Kwetsbare digitale boezem
We zijn digitaal kwetsbaar geworden tot op de boezem. Overal waar we gaan, omringen we ons met slimme apparaten: de multifunctionele slimme telefoons, de tablets en laptops. We dragen ze dicht op ons lijf en zijn altijd binnen bereik en bereikbaar. We gebruiken ze om te werken en te leren, om contacten te onderhouden en conflicten uit te vechten, om boodschappen te doen en vakanties te boeken, om bankzaken te regelen en om te spelen. Er is geen geen dagelijkse handeling meer waarvoor we deze apparaten niet gebruiken.
We hebben gezien hoe fundamenteel kwetsbaar de huidige informatie- en communicatietechnologiën zijn. De omvang en complexiteit van de software waarmee we werken, zijn zo groot, dat er altijd kwetsbaarheden of veiligheidslekken zijn die door criminelen kunnen worden uitgebuit. Softwareproducenten zijn meer geïnteresseerd in de winsten die zij met nieuwe producten kunnen realiseren dan in de veiligheid van hun klanten. We hebben ook gezien dat in de keten van kwetsbaarheden de mensen zelf de zwakste schakel vormen. Werknemers zijn soms onzorgvuldig, goedgelovig en makkelijk manipuleerbaar. Vaak zijn zij ook het slachtoffer van een geraffineerde inbraak in een zeer persoonlijk digitaal apparaat.
Inbreken in de digitale apparaten van individuele burgers biedt niet allen toegang tot hun eigen bankrekening. Het biedt ook toegang tot de ict-systemen van het bedrijf of de instelling waar het doelwit werkt. Het infiltreren en manipuleren van smartphones en mobiele communicatiesystemen is bijna kinderlijk eenvoudig. In de bestrijding van de misdaad in of met behulp van cyberspace krijgt dit een steeds groter gewicht.
Afbakening van begrip
Internet en mobiele communicatie hebben ons niet alleen grote zegeningen gebracht, maar ook nieuwe risico’s en actuele bedreigingen. Naast cybercriminaliteit worden we bedreigd door cybervandalisme van verveelde pubers, door cyberterrorisme van nationalistisch of religieus geïnspireerde gewelddadige groepen en door cyberoorlogen tussen nationale staten.
Zij maken gebruik van vergelijkbare en meestal identieke instrumenten en methodieken. Maar zij verschillen aanzienlijk in hun doelstelling, werkwijze, aard van de actoren en institutionele verankering.
In de volgende tabel zijn deze verschillen schematisch geordend.
|
Cyberconflicten
|
|
|
Doel
|
Methode
|
|---|
|
CyberVandalisme
|
Verdrijven van verveling, irriteren om aandacht.
Geen maatschappelijk, politiek of financieel doel.
|
Het vandaliseren van willekeurige sites en servers “voor de lol” of uit nieuwsgierigheid: “kijken of het kan”.
|
|
CyberActivisme
|
Articuleren van maatschappelijke belangen en van politieke doelstellingen; aanklagen van exploiterende, repressieve en discriminerende machthebbers.
|
Activistische propaganda: aandacht vragen voor maatschappelijke problemen middels het tijdelijk blokkeren van de toegang tot sites en servers (denial-of-service aanvallen als virtuele sit-in) en het onthoofden van sites (vervangen van homepage door eigen mededeling). Hacktivisten gebruiken meestal kortdurende denial-of-service aanvallen of publiceren gevoelige informatie van hun doelwitten als vorm van politiek protest. Meer radicale groepen zouden echter ook meer systematische effecten kunnen bewerkstellingen, zoals het ontregelen van financiële netwerken. Hun cyberacties kunnen zelfs per ongeluk gevolgen hebben die geïnterpreteerd worden als een door een staat gesteunde aanval.
|
|
CyberCriminaliteit
|
Illegale zelfverrijking: geldkopperij door diefstal, oplichting, afpersing en fraude.
|
Opportunistisch, niet ideologisch, niet strategisch: inbreken, pakken wat je kan en wegwezen (hit and run). Cybercriminelen kopen en verkopen op de zwarte markt instrumenten waarmee kan worden ingebroken op vitale infrastructuren en die gemakkelijk in handen kunnen vallen van agressieve staten, paramilitaire of terroristische organisaties.
|
|
CyberTerrorisme
|
Vijanden van de juiste leer zoveel mogelijk schade berokkenen: angst zaaien.
|
Ideologisch (politiek, religieus, nationalistisch etc.) gemotiveerd niet op geldelijk winst gericht. Spectaculaire cyberaanslagen op als vijandig gedefinieerde doelwitten.
Terroristische organisaties hebben steeds meer belangstelling voor de ontwikkeling van offensieve cybercapaciteiten. Hun slagkracht is beperkt door de beschikbare intellectuele en organisationele bronnen en, en door concurrerende prioriteiten.
|
|
CyberSpionage
|
Verwerven van informatie over vijandige of potentieel vijandige strijdkrachten. Economische of bedrijfsspionage is gericht op het stelen intellectueel eigendom en bedrijfsgeheimen van concurrerende ondernemingen.
|
Clandestien penetreren in vijandige informatiesystemen om daar heimelijk informatiebestanden te vervreemden of communicaties af te luisteren.
|
|
CyberOorlog
|
Vernietigen of beschadigen van vitale systemen van vijandige staten met offensieve cyberwapens.
|
Strategisch en niet opportunistisch: doelwitten bepalen, cyberwapens in stelling brengen, gericht aanvallen, monitoren van effecten.
|
Aan deze opsomming zou nog «hacken» worden toegevoegd. De meeste ethische of white hat hackers inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen en netwerken. Hun doel is het aantonen —middels volledige of verantwoordelijke bekendmaking— dat deze systemen en netwerken inadequaat beveiligd zijn en dat het mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven als ‘binnendringen omdat het kan’ en ’lekken zoeken omdat er lekken zijn’, zonder onnodige schade aan te richten. Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste cyberveiligheid.
Internet der dingen — cyberspace is geen aparte ruimte
Cyberspace werd ooit gezien als louter fictie, als een “consensuele hallucinatie” [William Gibson]. Tegenwoordig is cyberspace een vitale virtuele werkelijkheid die miljarden mensen met online computers en apparaten voor mobiele communicatie omvat. Alles wat op code werkt en een verbinding naar een digitaal netwerk heeft, is onderdeel van cyberspace.
Cyberspace is het geheel van virtuele werelden die bestaan wanneer we via internet en mobiele communicatie informatie uitwisselen en met elkaar communiceren. Het evolueert steeds meer tot eeh internet der dingen. Productiemachines, financiële operaties, vervoerstechnieken en slimme apparaten worden in digitale netwerken met elkaar verbonden. De meest uiteenlopende apparaten en installaties worden door computers aangestuurd en gecontroleerd: scanners en printers; beveiligingscamera’s en liften; GPS en satellieten; auto’s en jachtvliegtuigen; banknetwerken en beurssystemen; treinen, elektriciteitscentrales, ultracentrifuges.
Met rasse schreden treden we binnen in het «internet van alles». Daarin dragen we steeds meer slimme apparaten met ons mee. Dat zijn de smart wearables zoals mobiele telefoons, Google Glass, slimme horloges en fitniss trackers. Het zijn sensoren die op elk moment al onze activiteiten vastleggen. Waar we zijn (GPS-coördinaten) en met wie we contact onderhouden, wat we met wie communiceren, welke transacties we plegen. Fitness sensoren registeren de stappen die ik neem, de afstand die ik afleg, de calorieën die ik gebruik en mijn hartslag.
Er komen steeds meer producten voor onze ‘slimme huizen’ die ontworpen zijn voor communicatie op afstand en controle van apparaten in onze huizen. Elk van deze apparaten kan voor criminelen een ingang worden in onze systemen.
Lagen en protocollen van slimme apparaten
Slimme apparaten zijn verbonden aan het internet. Daar worden de data die we via onze slimme apparaten versturen en ontvangen opgeslagen. Voordat ze op het internet belanden, passeren de data verschillende lagen:
- Datalinklaag
De laag waarin de slimme apparaten data versturen en delen. In deze laag worden data tussen apparaten gedeeld via Wi-Fi, Ethernet, RFID en Bluetooth protocollen.
- Router laag – ook wel: Smart Hub layer
Een router is een apparaat dat al je andere slimme apparaten aan het internet verbindt.
- Sessie laag
In deze laagworden de gegeves verstuurd en ontvangen wannner je programa’s gebruikt. Hier worden de gegevens die via deze programm’s worden verstuurd en ontvangen beheerd. In deze laag worden vooral de meer bekende profielen HTTP en HTTPS gebruikt.
- Internet laag – ook wel: Cloud layer.
Dit is waar de data uiteindelijk belanden.
Op elk van deze lagen kan een criminele aanval worden gedaan.
|
De exlosieve groei van het «internet der dingen» maakt onze samenleving gevoeliger voor ontwrichtende en vernietigende digitale aanvalswapens.
Overheidsbeleid
Een verstandige overheid versterkt de maatschappelijke weerbaarheid en het herstelvermogen van onze computersystemen en mobiele netwerken. Zij stimuleert zelforganisatie van internettende burgers en stuurt aan op decentralisatie van heel grote en dus erg kwetsbare instellingen, productie-installaties en databanken.
De lastigste opgave is om een beleid te voeren dat zowel onze veiligheid als onze vrijheden in cyberspace waarborgt. Kunnen we een acceptabel niveau van digitale veiligheid tot stand brengen waardoor de grootste risico’s in het gevirtualiseerde en gemobiliseerde verkeer zo ver mogelijk worden geminimaliseerd? Kunnen we onze virtuele vrijheden kunnen behouden en versterken?
Daarbij zijn in ieder geval drie vrijheidsrechten in het geding:
- de vrijheid om ook online onze mening te uiten, zonder daarmee diezelfde vrijheid van anderen te ontzeggen (door te dreigen met geweld of door discriminatie van bepaalde bevolkingsgroepen).
- de vrijheid om anoniem of pseudoniem met cyberburgers te communiceren en te interacteren.
- de vrijheid om ons in virtuele netwerken te associëren en activiteiten te coördineren.
Deze drie vrijheden kunnen ook als rechten worden geformuleerd en in een grondrecht worden gebundeld. Dat grondrecht zou als volgt kunnen luiden: internet en mobiele communicatie zijn universele diensten waartoe alle wereldburgers vrijelijk toegang toe dienen te hebben zolang zij diezelfde vrijheid van andere burgers niet aantasten. Internet is een netwerk dat grondwettelijk erkent en afgeschermd dient te worden. Het digitale grondrecht zou op dezelfde wijze geregeld moeten worden als in de analoge wereld. In de analoge wereld van formeel democratische rechsstaten ben je vrij om je te bewegen in elke openbare ruimte. Dat vrijheidsrecht zou ook moeten gelden in de virtuele openbare ruimte, in cyberspace.
|
Bronnen over CyberCrime |
|---|
- Informatiebronnen over CyberCrime (SocioSite)
- “419” Scam
- Ale, Ben [2009]
Risk: An Introduction. The Concepts of Risk, Danger and Chance.
London: Routledge.
- Aljazeera
- Anderson, Ross
- Attrition.org
Een groep die ‘Web defacements’ en andere typen cybermisdaad in de gaten houdt.
- Aycock, John
- Balthrop, J. / Forrest, S. / Newman, M.E.J. / Williamson, M.N. [2004]
Technological Networks and the Spread of Computer Viruses.
In: Science, 304(5670): 527-529.
- Barford, Paul / Yegneswaran, Vinod [2006]
An Inside Look at Botnets
University of Wisconson, Madison.
- BBC
- Beaver, Kevin [2007]
Hacking for Dummies.
Indianapolis: Wiley.
- Beckett, Donald M. / Putnam, Douglas T. [2010]
Predicting Software Quality
- Bendrath Ralf
- [2003] The American Cyber-Angst and the Real World–Any Link.
In Latham R. (ed) [2003] Bombs and Bandwidth: The Emerging Relationship Between Information Technology and
Security.
New York: The Free Press, 49-73.
- Bhaskar, Roy [2006]
State and local law enforcement is not ready for a cyber Katrina.
In: Communications of the ACM, 49(2): 81-83.
- Bhattacharjee, Supriyo
Internet Fraud Case - Vladimir Levin
In: College of Agricultural Banking.
- Beijer, A. e.a. [2004]
De Wet Bijzondere Opsporingsbevoegdheden: Eindevaluatie.
Den Haag: Boom 2004.
- Bilge, Leyla / Dumitras, Tudor [2012]
Before We Knew It - An Empirical Study of Zero-Day Attacks In The Real World
- Biryukov, Alex / Pustogarov, Ivan / Weinmann, Ral-Philipp [2013]
Content and popularity analysis of Tor hidden services
In: Cryptome, 30.8.2013
- Bits of Freedom (BoF)
- Boebert, Earl W.M [2010]
A Survey of Challenges in Attribution
In: Proceedings of a Workshop on Deterring CyberAttacks: Informing Strategies and Developing Options for U.S. Policy.
- Bloomberg
- Brenner, Susan W.
- Burnett, Mark [2011]
10.000 Top Passwords
- Buzan, Barry / Wæver, Ole / Wilde, Jaap de [1998]
Security: A New Framework for Analysis.
Boulder: Lynne Rienner Pub.
- Center for Strategic & International Studies (CSIS)
- ChinaDaily
- Choo, Kim-Kwang, Raymond [2010]
Trends & issues in crime and criminal Justice
Canberrra: Australian Institutes of Criminology.
- Cimpean, Dan / Meire, Johan [2009]
Country Report: Belgium - European Network and Information Security Agency
- Clayton, Richard [2005]
Anonymity and traceability in cyberspace
Cambridge: University of Cambridge.
- Cohen, Fred
Computer Viruses - Theory and Experiments
- [1994] A Short Course on Computer Viruses
Wiley, second edition.
- ComputerWorld
- Cooper, Ricky A. / Van Vliet, Ben [2012]
Whole-Distribution Statistical Process Control in High-Frequency Trading
In: Journal of Trading, 7(2):57-68.
- CPNI (Platform voor Cybersecurity)
- CyberWarZone (CWZ)
- Data Breach Today
- DarkReading
- Décary-Hétu, David / Dupont, Benoit [2012]
The social network of hackers
In: Global Crime,
13(3): 160–175.
- Denning, Dorothy E.
- [1986] An Intrusion Detection Model
Proceedings of the Seventh IEEE Symposium on Security and Privacy. May 1969, pp. 119-131.
- [1998] Internet Besieged: Countering Cyberspace Scofflaws. Addison-Wesley.
- Denning, Dorothy E. / Baugh, William E., Jr. [1999]
Hiding Crimes in Cyberspace.
Inn: Information, Communication and Society, 2(3), July 1999.
- EenVandaag
- Economist, The
- Eurojust
- European CyberCrime Centre (EC3)
- Europese Unie
- Europol
- F.B.I. (Federal Bureau of Investigation)
- Financieel Dagblad
- Fox It
- Gai, Jiading / Yao, Chen / Ye, Mao [2012]
The Externalities of High-Frequency Trading
- Glenny, Misha
- Gollmann, Dieter [2011]
Computer Security. Chichester: Wiley.
- Guardian, The
- Cybercrime - Dossier
- [17.08.2003] Net closes on paedophiles - Tony Thompson
- [17.01.2011] Hackers will not be deterred by UK cyber defences, report warns - Owen Bowcott
- [21.09.2011] Cybercrime: is it out of control? - Misha Glenny
- [29.09.2011] Sock puppets, twitterjacking and the art of digital fakery - Stuart Jeffries
- [27.10.2011] Chinese hackers suspected of interfering with US satellites - Charles Arthur
- [01.11.2011] DarkMarket by Misha Glenny - review - Thomas Jones
- [06.03.2012] Securing the future benefits of technology - Hamadoun Touré
- [07.03.2012] The LulzSec hacking arrests won’t make it safer online - James Ball
- [27.06.2012] The urgency of a computer virus nonproliferation treaty - Pratap Chatterjee
- [09.07.2012] DNSChanger may take 300,000 offline - Charles Arthur
- [09.07.2012] DNSChanger malware causes internet blackout in over 42,000 computers
- [14.09.2012] Malware being installed on computers in supply chain, warns Microsoft
- [18.09.2012] Cyberfraud threatens welfare reform, warns minister
- [03.12.2012] Cybercrime to get higher priority
- [06.12.2012] Student convicted over Anonymous cyber-attacks
- [03.01.2013] Cybersecurity drive to target schoolchildren and 'risky men'
- [13.01.2013] The battle against cybercrime is too important to be undone by Eurosceptics - Misha Glenny
- [11.02.2013] Businesses need to protect against IP theft
- [11.02.2013] Who are the hackers? Profiling the masters of data disruption - Guy Clapperton
- [13.02.2013] Infographic: how botnets work to attack networks
- [13.02.2013] Russian-led cybergang broken by police
- [25.02.2013] Anonymous hackers jailed for cyber attacks - Josh Halliday
- [27.02.2013] UK was world's most phished country in 2012 - why is it being targeted?
- [27.02.2013] Could data science turn the tide in the fight against cybercrime?
- [19.03.2013] Botnet fraud costs display advertisers $6m a month, security researchers say - Charles Arthur
- [28.03.2013] Internet slows down after DNS attack on Spamhaus
- [17.04.2012] Britain is right to take the lead on cybersecurity - Nick Hopkins
- [17.04.2013] Is Armageddon on the cyber horizon? - Alan Bentley
- [24.04.2013] LulzSec arrest in Australia
- [24.04.2013] LulzSec hacking suspect arrested in Sydney - video
- [28.04.2013] 'Cyber Jedi' schools contest a new hope for Britain's IT empire to strike back
- [05.05.2013] On the frontline of the fight against cybercrime
- [12.05.2013] 20 ways to keep your internet identity safe from hackers
- [16.05.2013] IT expert jailed for attacks on Oxford and Cambridge websites
- [16.05.2013] LulzSec: what they did, who they were and how they were caught
- [16.05.2013] LulzSec hackers jailed for string of sophisticated cyber-attacks
- [16.05.2013] LulzSec: the unanswered questions
- [17.05.2013] Why are the LulzSec hackers being locked up? - James Ball
- [20.05.2013] The man who 'nearly broke the internet'
- [31.05.2013] Ransomware: protection, prevention and what to do in an attack
- [31.05.2013] Hack in the USSR: cybercriminals find haven in .su domain space
- [29.07.2013] Human trafficking investigators play catchup as criminals go hi-tech
- [30.07.2013] Britain is losing the war against internet crime, says MP report
- [30.07.2013] Cyber criminals targeting UK, say MPs - video
- [31.07.2013] How a Russian cybercriminal tried to frame me with a Bitcoin heroin deal - Brian Krebs
- [06.08.2013] Child abuse images 'used by criminals in bid to introduce malware' - Charles Arthur
- [10.08.2013] How should you protect yourself from cyber surveillance? - Dan Gillmor
- [16.08.2013] Cyber scams take advantage of hope and trust Jemima Kiss
- [23.08.2013] Cybercrime hits more than 9 million UK web users
- [26.08.2013] Saudi Aramco hit by computer virus - Charles Arthur
- [26.08.2013] Five arrested over online tax fraud
- [28.08.2013] 'Vishing' scams net fraudsters £7m in one year
- [13.01.2013] The battle against cybercrime is too important to be undone by Eurosceptics - Misha Glenny
- [28.08.2013] New York Times website offline after ‘malicious external attack’ - Adam Gabbatt
- [13.09.2013] Cybergang foiled after allegedly hacking into London bank
- [16.09.2013] Internet security: 10 ways to keep your personal data safe from online snoopers
- [20.09.2013] Barclays theft: eight arrested over £1.3m stolen remotely by gang
- [25.09.2013] Labour conference: Yvette Cooper to pledge action internet shopping fraud
- [03.10.2013] Adobe warns 2.9 million customers of data breach after cyber-attack
- [07.10.2013] FBI struggles to seize 600,000 Bitcoins from alleged Silk Road founder - Alex Hern
- [07.10.2013] FBI pranked by furious Bitcoin users since Silk Road shutdown - Alex Hern
- [12.10.2013] Protecting yourself online isn't as easy as it used to be, but it can be done - Dan Gillmor
- [19.10.2013] CryptoLocker attacks that hold your computer to ransom
- [19.10.2013] 10 ways to beat CryptoLocker
- [22.10.2013] Ex-hackers could be recruited to UK cyberdefence force
- [29.10.2013] Briton Lauri Love faces hacking charges in US
- [30.10.2013] Online fraud costs global economy 'many times more than $100bn'
- [12.11.2013] In from the cold: the mainstream rehabilitation of the 'hacker'
- [15.11.2013] UK faces mass 'ransomware' email attack from cybercriminal gangs
- [21.11.2013] US police force pay bitcoin ransom in Cryptolocker malware scam - Samuel Gibbs
- [03.12.2013] Online drugs marketplace shut down after £3.5m bitcoin hack - Alex Hern
- [06.12.2013] Five reasons why big companies are finding it hard to beat cyber criminals
- [06.12.2013] RBS says NatWest website hit by cyber-attack
- [10.12.2013] Five predictions for information security and cybercrime in 2014
- [11.12.2013] Cybercrime police investigating £1m bank theft arrest four people in London
- [11.01.2014] Neiman Marcus confirms customers affected by cyber-security breach
- [22.01.2014] How to set a strong password - Erica Buist
- [05.02.3014] City needs to be better prepared for cyber-attacks, Bank of England warns
- [26.02.2014] US prosecutors investigate businesses dealing in bitcoins
- [27.02.2014] PC users: beware of CryptoLocker malware
- [11.03.2014] Protect your small business from cybercrime
- [14.03.2014] Tackling insider cyber threats requires a credible digital forensic strategy
- [14.03.2014] A web safe, sound and fit for purpose
- [01.04.2014] WiFi routers could be exploited for huge internet attacks in UK – study - Ben Brewster
- [03.04.2014] By turning security into a data problem, we can turn the tables on the bad guys
- [14.04.2014] The NSA's Heartbleed problem is the problem with the NSA - Julian Sanchez
- [15.04.2014] Trouble with Russia, trouble with the law: inside Europe’s digital crime unit - Tom Brewster
- [17.04.2014] It's simple: criminalize revenge porn, or let men punish women they don't like - Mary Anne Franks & Danielle Citron
- [30.04.2014] The cyber risks facing UK retailers – lessons from the US
- [30.04.2014] Avoiding mobile fraud: What small businesses need to know
- [02.05.2014] Philippines police arrest webcam extortion suspects
- [07.05.2014] 10 talking points about cybersecurity and your business - Stuart Dredge
- [08.05.2014] Android porn browsers warned to watch out for Koler.A ransomware - Stuart Dredge
- [15.05.2014] Is Elderwood the digital arms dealer that fuelled attacks on Google? - Tom Brewster
- [16.05.2014] Police warn men over online 'sextortion'
- [19.05.2014] FBI arrests 100 hackers over Blackshades malware - Alex Hern
- [26.05.2014] Prosecutors seek leniency for hacker Sabu who helped tackle Anonymous
- [28.05.2014] Sabu, the FBI and me: how his light sentence affects the hacking landscape
- [02.06.2014] Global police operation disrupts aggressive Cryptolocker virus
- [02.06.2014] US accuses Russian hacker Evgeniy Bogachev of $100m fraud
- [03.06.2014] Cryptolocker: 10 steps to avoid the ransomware virus
- [03.06.2014] Cyber security break-ins a 'daily hazard while firms skimp on protection'
- [04.06.2014] Cryptolocker: Police take further action on ransomware that hit 50,000 in UK - Tom Brewster
- [04.06.2014] Life sentences for serious cyberattacks are proposed in Queen's speech
- [05.06.2014] Simplocker Android malware locks up mobile data and demands a ransom - Tom Brewster
- [06.06.2014] How to protect yourself from phishing - Stuart Dredge
- [06.06.2014] Latest OpenSSL bug ‘may be more dangerous than Heartbleed’ - Tom Brewster
- [09.06.2014] Is the global cost of cybercrime really £266bn a year? No, it isn’t - Tom Brewster
- [16.06.2014] The €30k data takeaway: Domino’s Pizza faces ransom demand after hack - Samuel Gibbs
- [27.06.2014] Scams, scareware and threats: how online hackers tap into your worst fears
- [10.07.2014] Shylock malware exits stage left, pursued by UK cyber police - Tom Brewster
- [17.07.2014] ScarePakage Android ransomware pretends to be FBI porn warning - Tom Brewster
- [23.07.2014] Police arrest suspects in StubHub ticket site fraud investigation
- [06.08.2014] Cybersecurity experts take Russian hacking scare 'with a pinch of salt' - Samuel Gibbs
- [07.08.2014] Sophisticated 'Turla' hackers spying on European governments, say researchers - Tom Brewster
- [23.08.2014] Records of up to 25,000 Homeland Security staff hacked in cyber-attack
- [28.08.2014] FBI investigating Russian links to JPMorgan hacking - Elizabeth Rust
- [28.08.2014] JPMorgan Chase among US companies 'targeted by Russian hackers'
- [01.09.2014] Europol launches taskforce to fight world’s top cybercriminals - Tom Brewster
- [27.09.2014] Meet this ‘modern day hero’ who is determined to outscam the scamsters - Miles Brignall
- [01.10.2014] Legal and General calls on stock market giants to fight cybercrime - Jill Treanor
- Gulijk, Coen van [2011]
Harmonisatie van Safety & Security
- Hackmageddon
- Hadnagy, Chris [2011]
Social Engineering: The Art of Human Hacking.
Indianapolis: Wiley.
- Hathaway, Oona et al. [2012]
The Law of Cyber-Attack
In: California Law Review, Vol. 817
- Hayden, Michael V. [2011]
The Future of Things ‘Cyber’
In: Strategic Studies Quarterly 5(1): 3-7
- Heise Security
- Hendershott, T. / Jones, C. M. / & Menkveld, A. J. [2011]
Does algorithmic trading improve liquidity?
In: The Journal of Finance, 66(1): 1-33.
- Hersh, M. Seymour [2010]
The Online Threat
In: New Yorker, 1 November 2010.
- Heuvel, Marten / Botterman, Maarten / Spiegeleire, Stephan de [2003]
Cyber Security in an Era of Technological Change
Rand Corperation.
- Honeynet Project
- [15.05.2005] Know your Enemy: Phishing
- [2012] A Real-Time Map of Global Cyberattacks
Op de kaart zijn cyberaanvallen te zien die op dat moment in de wereld plaatsvinden. De kaart van het Honeynet Project toont zoveel aanvallen dat het lijkt alsof je naar een scene zit te kijken van een apocalyptische oorlogsfilm. Elke rode stip die oplicht als je naar de kaart gaat representeert een aanval op een computer. De gele punten representeren honeypots (systemen die zijn opgezet om inkomende aanvallen te registreren). In het zwarte veld onderaan kun je zien waar elke aanval vandaan komt. De gegevens komen van de leden van het netwerk van het Honeynet Project van honeypot sensoren. Ook al worden lang niet alle cyberaanvallen in kaart gebracht, het geeft een verbazingwekkend beeld van de hoeveelheid malware dat computernetwerken aanvalt.
- Hoskins, Andrew / Liu, Yi-Kai / Relkuntwar, Anil [2005]
Counter-Attacks for Cybersecurity Threats
Cyber Security and Homeland Security.
- Hulsma, Sander [2012]
Expert kraakt Cisco-vergadersysteem Defensie
In: Computable, 23.2.2012
- ifex
- Independent, The
- Intelligence Online
- International Center for Security
- International Journal of Cyber Criminology (IJCC)
- [2007a] Cyber Criminology: Evolving a novel discipline with a new journal - K. Jaishankar
January 2007, Vol 1 (1):1-5
- [2007b] Computer Crime Investigations in the United States: Leveraging Knowledge from the Past to Address the Future - Sameer Hinduja
January 2007, Vol 1 (1): 1-26
- [2007c] Establishing a Theory of Cyber Crimes - K. Jaishankar
July 2007, Volume 1(2): 7-9.
- [2007d] Crime Control in the Digital Age: An exploration of Human Rights Implications - Russell G. Smith
July 2007, Volue 1(2): 167-179
- [2007e] Cyber stalking: An Analysis of Online Harassment and Intimidation -
Michael L. Pittaro
July 2007, Volume 1(2): 180-197
- [2007f] Book Review of Cybercrime – The Reality of the Threat - Nicholas Chantler
July 2007, Volume 1(2): 249–251
- [2007g] Book Review of How to avoid becoming a victim - James Bowers, Jr.
July 2007, Volume 1(2): 252–255
- [2008a] Identity related Crime in the Cyberspace:
Examining Phishing and its impact - K. Jaishankar
January-June 2008, Vol 2 (1): 10–15
- [2008b] Book Review of Crimes of the Internet - Stephen M. Marson
January-June 2008, Vol 2 (1): 322–323
- [2008c] Cyber Hate: Antisocial networking in the Internet - K. Jaishankar
July-December 2008, Vol 2 (2): 16–20
- [2008d] Book Review of Cybercrime and Society -Russel Smith
July - December 2008, Vol 2 (2): 397–399
- [2009a] Sexting: A new form of Victimless Crime? - K. Jaishankar
January-June 2009, Vol 3 (1): 21–25
- [2009b] Book Review of Understanding and Managing Cybercrime - Robert M. Slade
January-June 2009, Vol 3 (1): 492–493
- [2009c] What’s Love Got to Do with It? Exploring Online Dating Scams and Identity Fraud - Aunshul Rege
July-December 2009, Vol 3 (2): 494–512
- [2009d] Book Review of Cybercrime: The Transformation of Crime in the Information Age - Herkko Hietanen
July-December 2009, Vol 3 (2): 566–589
- [2010a] The Future of Cyber Criminology: Challenges and Opportunities - K. Jaishankar
Jan – July 2010, July - December 2010 (Combined Issue) Vol 4 (1&2): 26–31
- [2010b] The Risk Propensity and Rationality of Computer Hackers - Michael Bachmann
Jan – July 2010, July - December 2010 (Combined Issue) Vol 4 (1&2): 643–656
- [2010c] The Council of Europe’s Cyber Crime Treaty: An exercise in Symbolic Legislation - Nancy E. Marion
Jan – July 2010, July - December 2010 (Combined Issue) Vol 4 (1&2): 699–712
- [2011a] Understanding Cyber-Crime in Ghana: A View
from Below - Jason Warner
Jan – July 2011, Vol 5 (1): 736–749
- [2011b] Undercover Online: An Extension of Traditional Policing in the United States - Melissa J. Tetzlaff-Bemiller
July – December 2011, Vol 5 (2): 813–824
- [2011c] Gang Presence in Social Network Sites - David Décary-Hétu &
Carlo Morselli
July – December 2011, Vol 5 (2): 876–890
- [2012a] Examining the Social Networks of Malware Writers and Hackers - Thomas J. Holt, Deborah Strumsky, Olga Smirnova & Max Kilger
January – June 2012, Vol 6 (1): 891–903
- [2012b] Criminals and Cyber Attacks: The Missing Link
between Attribution and Deterrence - Clement Guitton
July – December 2012, Vol 6 (2): 1030–1043
- [2014a] Organizations and Cyber crime: An Analysis of
the Nature of Groups engaged in Cyber Crime - Roderic Broadhurst, Peter Grabosky, Mamoun Alazab & Steve Chon
January – June 2014, Vol 8 (1): 1–20.
- Internet Researche & Onderzoek Netwerk (iRN)
- Javers, Eamon
- Karnow, Curtis E.A. [2003]
Strike and Counterstrike: The Law on Automated Intrusions and Striking Back
BlackHat Windows Security 2003, Seattle, WA, Feb 27, 2003.
- KarsperskyLab
- Kirwan, Gráinne / Power, Andrew
- Kenyon, Henry S. [1999]
Adaptive Response Tool Foils Hackers
In: Signal Online, August 1999.
- KLPD (Korps landelijke politiediensten)
- Knake, Robert K. [2010]
Untangling Attribution: Moving to Accountability in Cyberspace
Prepared statement to the US House of Representatives Committee on Science and Technology. Planning for the Future of Cyber Attack. July 5 2010.
- Koh, Harold Hongju
- KrebsonSecurity
- Kruisbergen, E.W. / Van de Bunt, H.G. / Kleemans, E.R. [2012]
Georganiseerde criminaliteit in Nederland
Vierde rapportage op basis van de Monitor Georganiseerde Criminaliteit.
- Lawson, Sean
- Leibowitz, Wendy R. [1999]
How law enforcement cracks cybercrimes.
In: New York Law Journal, 5.
- Lessig, Lawrence [1999]
Code and Other Laws of Cyberspace.
New York, NY: Basic Books.
- Leverett, Éireann [2011]
Quantitatively Assessing and Visualising Industrial System Attack Surfaces
University of Cambridge.
- Leveson, Nancy G.
- Leukfeldt, E.R. [2010]
The e-fraudster: A criminological perspective
Leicester: University of Leicester.
- Lord, Kristin / Sharp, Travis (eds.) [2011]
America’s Cyber Future.
Washington, DC: CNAS.
- Lyman, Michael D. [2014]
Criminal investigation: the art and the science (7th ed.)
Upper Saddle River, N.J.: Prentice Hall.
- Lyu, Michael R. [2005]
Handbook of Software Reliability Engineering
Computer Society Press & McGraw-Hill.
- Maio, Paola di [March 2001]
Internet Europe: Hacktivism, Cyberterrorism Or Online Democracy?
- Malwageddon
- Malwareinfo.nl
- Mattord, Verma [2008]
Principles of Information Security. Course Technology.
- McAfee
- McGraw, Gary [2006]
Software Security: Building Security In.
Boston, NY: Addison-Wesley.
-
Menkveld, Albert
- Ministerie van Veiligheid en Justitie
- Mitnick, Kevin D. / Simon, William L.
- Morozov, Evgeny
- Mueller, John / Friedman, Benjamin [2012]
The Cyberskeptics
In: CATO Institute, 3.1.2012
- Netzpolitik.org
- Nationaal CrisisCentrum [NCC]
- Nationaal Cyber Security Centrum [NCSC]
- National Infrastructure Protection Center [NIPC]
Een Amerikaans centrum voor het opsporen en beoordelen van en reageren op onwettige handelingen die te maken hebben met informatietechnologieën welke de vitale infrastructuren bedreigen.
- National Research Council [NRC]
- [1991] Computers at Risk. Washington D.C.:National Academies Press.
- [2007] Toward a Safer and More Secure Cyberspace. Washington D.C.: The National Academies Press.
- [2009] Technology, Policy, Law, and Ethics Regarding
U.S. Acquisition and Use of Cyberattack Capabilities. Washington D.C.:National Academies Press.
- Namestnikov, Yuri [2009]
The Economics of Botnets
In: Securelist, 22.7.09.
- Netkwesties
- Newman, G. / Clarke, R.V. [2003]
Superhighway robbery: Preventing e-commerce crime
Portland, Oregon: Willan Publising
- New York Times, The
- Noopur, David [2005]
Developing Secure Software
In: Journal of Software Technology
- NOS
- NRC
- Nye, Joseph S.
- [1990] Bound to Lead: The Changing Nature of American Power.
New York: Basic Books.
- [2010] Cyber Power.
Cambridge, MA: Harvard University.
- [2011a] The Future of Power.
New York: Public Afairs Press.
- OECD [2011]
Reducing Systemic Cybersecurity Risk
Geschreven door Peter Sommer en Ian Brown.
- Oerlemans, J.J.
- Odinot, G. / Jong, D. de / Leij, J.B.J. van der / Poot, C.J. de / Straalen, E.K. van [2012]
Het gebruik van de telefoon- en internettap in de opsporing
Den Haag: Boom Lemma.
- Openbaar Ministerie (OM)
- OWNI
- PAC
Bestrijding van criminaliteit in de gedigitaliseerde maatschappij. Actualisatie van het RHC beleid
De Bilt: PAC
- Parker, Don B. [1976]
Crime by computer
New York: Charles Scribner’s Sons.
- Parool, Het
- PCCIP (President’s Commission on Critical Infrastructure Protection) [1997]
Critical Foundations: Protecting America’s Infrastructures
- PCWorld
- Penna, Lyta / Clark, Andrew J. / Mohay, George M. [2005]
Challenges of Automating the Detection of Pedophile Activity on the Internet
In: Proceedings of the First International Workshop on Systematic Approaches to Digital Forensic Engineering, 7-9 November 2005, Taipei, Taiwan, pp. 206-222.
- Pouget, Fabien / Dacier, Marc / Debar, Hervé [2003]
Honeypot, Honeynet, Honeytoken: Terminological issues
White Paper, Eurecom.
- ProPublica
- RAND
- RSA
-
Sanger, David E.
- SANS Institute [2001]
The Twenty Most Critical Internet Security Vulnerabilities
Een uitstekend overzicht van de 20 grootste kwetsbaarheden van het internet, gepresenteerd door het SANS Instituut (System Administration, Networking, and Security).
- SCADAhacker.com
- Schneier, Bruce
- Schonfeld, Erick [2009]
The Evolution Of Click Fraud: Massive Chinese Operation DormRing1 Uncovered
In: TC, 8.10.09
- SecureList
- SecureWorks
- Security.nl
- Securityrecht
- Seshagiri, Girish [2011]
Predicting Software Quality Early in the Software Development Lifecycle and Producing Secure Software
Presented at the Systems & Software Technology Conference, May 18, 2011. Salt Lake City.
- Shin, Yonghee/Willams, Laurie [2008]
Is Complexity Really the Enemy of Software Security?
In: ACM Conference on Computers and Communications Security (CCS) 2008, Alexandria, VA, pp. 47-50.
- Sicherheitstacho.eu
Een in real-time bijgewerkte wereldkaart die laat zien waar cyberaanvallen worden uitgevoerd. Deutsche Telekom verzamelt de dat van 97 sensoren die werken als lokaas-systemen (honeypots) op verschillende plekken in de wereld.
- Singer, Peter W. / Friedman, Allan [2013]
Cybersecurity: What Everyone Needs to Know.
Oxford University Press.
- Singh, Abhishek (ed.) [2010]
Vulnerability Analysis and Defense for the Internet
Springer Verlag.
- Singh, Abhishek / Lambert, Scott / Ganarcharya, Tanmay A. / Williams, Jeff [2010]
Evasions In Intrusion Prevention/Detection Systems
In:Virus Bulletin, 01.04.10
- Smith, George
- [1994] The Virus Creation Labs: A Journey into the Underground.
American Eagle.
- Somayaji, Anil / Hofmeyr, Steven / Forrest, Stephanie [1997]
Principles of a Computer Immune System
In New Security Paradigms Workshop. Langdale, Cumbria UK.
- Spapens, Toine [2010]
Macro Networks, Collectives, and Business Processes: An Integrated Approach to Organized Crime
In: European Journal of Crime, Criminal Law and Criminal Justice, 18(2): 185–215
- Spiegel, Der
- Spitzner, Lance [2002]
Honeypots: Tracking Hackers. Addison-Wesley.
- SpyFiles
- Spy Museum
- Standaard, de
- Stevens, Marc [2012]
Attacks on Hash Functions and Applications
Universiteit Leiden.
- Stol, Wouter
- [2004] Trends in cybercrime
In: Justitiële verkenningen, 30(8): 76-94
- [2008] Cybercrime
In: W.Ph. Stol en A.Ph. van Wijk
(red.), Inleiding criminaliteit
en opsporing.
Den Haag: Boom
Juridische uitgevers, 2008,
p. 65-77
- [2010] Cybersafety overwogen
Den Haag, Boom Juridische uitgevers
- [2011] Cybersafety
In: W.Ph. Stol, C. Tielenburg
e.a. (red.), Basisboek integrale
veiligheid, Den Haag: Boom Lemma uitgevers, p. 295-308
- StrategyPage
- Swimmer, Morton [2008]
Towards integrated malware defence
In: VB2008, 1-3 October 2008 in Ottawa.
- Symantec
- Talbot, Julian / Jakeman, Miles [2008]
Security Risk Management Body of Knowledge. South Carlton.
- Tarala, James [2002]
Virii Generators: Understanding the Threat
- TechRepublic
- Tech Worm
- Telegraaf, De
- Telegraph, The
- Tempelman, Daisy G. [2010]
Telefoontaps in Nederland: Wordt Nederland een Politiestaat?
In: Rechtenniews.nl, 14.09.10
- Tenet, George J. [2001]
Statement door de directeur van CIA voor “Worldwide Threat 2001: National Security in a Changing World”.
- Terre des Homes
- ThreatPost
- Time
-
Times, The
- Trend Micro
- Trouw
- Tweakers
- Verizon
- Volkskrant, De
- Vrij Nederland
- Wall Street Journal, The
- Warbroek, Boudewijn [2010]
007 loert mee
In: Binnenlandsbestuur, 2.4.2010
- Washington Post, The
- Washington Times, The
- Webwereld
- WODC (Wetenschappelijk Onderzoek- en Documentatiecentrum)
- Wikileaks
- Wikipedia
Cybercriminaliteit
- Williams, Phil [2001]
Organized Crime and Cybercrime: Synergies, Trends, and Responses
In: Global Issues
- Wired
- WorldCrunch
- Wiley, Brandon [2002]
Curious Yellow: The First Coordinated Worm Design
- World Economic Forum
- Woude, Maurice R. van der [2011]
Een heldere kijk op Cloud Computing.
Renkum: Nobel.
- Xinhuanet
- YouTube
- Zittran, Jonathan [2008]
Tbe Future of the Internet and How to Stop It.
New Haven: Yale University Press.
25 January, 2015
Eerst gepubliceerd: Oktober, 2014
|
Op 5 oktober 2012 crashte de India National Stock Exchange (NSE) na foutief ingevoerde beleggingsopdrachten. De Nifty-index verloor tijdelijk een zesde van zijn waarde. Door een menselijke fout waren er per ongeluk 59 orders geplaatst met een waarde van 125 miljoen dollar [NSE, 5.10.12]. De gecomputeriseerde handelsprogramma’s reageerden onmiddellijk op de neerwaartse druk en voerden automatisch de bijpassende transacties uit, voordat iemand zich realiseerde wat er was gebeurd. Pas nadat de beurshandel 15 minuten automatisch werd stilgelegd, besefte men wat er gebeurd was. De flitscrach vaagde in korte tijd 58 miljoen dollar aan beurswaarde weg van de 50 toonaangevende Indiase bedrijven [BloombergBussinessweek, 6.10.12; FD, 5.10.2012].
