Professional Documents
Culture Documents
2SocioSite: CYBERCRIME
2SocioSite: CYBERCRIME
Informatiebronnen
Verwante teksten
CyberOorlog — Internet als slagveld
Toezicht op internet: de surveillancestaat
CyberTerrorisme — Dodelijk geweld vanaf het toetsenbord
Jihad in Nederland: Kroniek van een aangekondigde politieke moord
Regulatie en zelfregulatie van internet
Encryptie: privacy beschermen
Internet is een integraal deel van ons dagelijks leven geworden. Het heeft veel zegeningen met
zich meegebracht, maar ook de slagschaduw die elke grote technologische uitvinding op de voet
lijkt te volgen: criminaliteit. Cyberspace is een aantrekkelijk jachtgebied voor criminelen. Er valt
veel geld te halen en allerlei soorten informatie (persoonsgegevens, patenten, bedrijfsgeheimen,
technologische kennis) die in geld kunnen worden omgezet.
Misdaden die door georganiseerde groepen worden gepleegd om grote criminele winsten te
genereren zoals online fraude.
Misdaden die serieuze schade berokkenen aan het slachtoffer, zoals online seksueel van
kinderen.
Misdaden die de kritische infrastructuren raken zoals systemen voor productie en distributie,
voor banken en beurzen, voor waterkeringen en kerncentrales, voor vervoer en verkeer, en
voor informatie en communicatie.
Er zijn misdaden die gericht zijn tegen de infrastructuren van onze computersystemen en
netwerken en er zijn misdaden die online worden begaan. Dit omvat alle delicten van
kwaadaardige software, hacking, phishing, intrusie, manipulatie, identiteitsdiefstal en fraude, tot
aan grooming en online seksuele exploitatie van kinderen.
De schaal van cybercriminele activiteit stelt de handhavers van de rechtstaat voor grote
problemen. De totale kosten van cybercrime voor de samenleving zijn aanzienlijk [—>Kosten van
Cybercrime]. Cybercrime is inmiddels nog winstgevender dan de totale handel in marijuana,
coca�ne en hero�ne samen.
Internet is een walhalla voor de cybercrimineel. De cracker waant zich almachtig, boven de wet
verheven en onaantastbaar. Cyberspace is een vrijstaat, met open grenzen en onduidelijke
spelregels. Omdat de verdachten zo moeilijk zijn te tracenren worden cybermisdaden zelden
bestraft. Daarin lijkt maar langzaam verandering te komen. Opsporingsinstanties treden steeds
effectiever en vaker op tegen criminele hackers. Maar er is nog veel onduidelijkheid over wat
digitale rechercheurs mogen doen en welke bijzondere opsporingsmiddelen zij daarbij mogen
gebruiken (pseudokoop, of infiltratie, deze actieve deelname aan een crimineel netwerk).
Wat is een cybercrime en welke soorten van online bedreven delicten zijn er? Hoe ontwikkelen die
verschillende soorten van cybercrime zich in Nederland en de rest van de wereld? Waarom zijn
cybercriminelen tot nu toe zo succesvol?
En wat kunnen wetshandhavers doen om het tij te keren? Hoe komen politie en justitie op het
spoor van de daders van cyberdelicten? Hoe kun je achterhalen wie er verantwoordelijk is voor
een specifieke cybercrime? Wat zijn de digitale sporen die cybercriminelen achterlaten? Met welke
middelen kun je deze sporen analyseren? En tenslotte de preventie: wat zou er aan de
infrastructuur van het internet en aan ons eigen gedrag moeten veranderen om cybercrime te
voorkomen?
Nabijheid en confrontatie
@@@
Internet is een medium van sociale nabijheid. Het faciliteert sociale en intieme contacten tussen
mensen ook wanneer zij niet binnen een tijdruimtelijk verband fysiek aanwezig zijn. Vanaf grote
afstand kunnen we nu virtueel voor elkaar aanwezig zijn.
Internet stelt ons in staat om op afstand en mobiel met elkaar te communiceren en informatie uit
te wisselen. Dank zij internet en mobiele communicatieapparatuur kunnen we elkaar op elk
gewenst tijdstip en overal bereiken. Er is een nieuwe digitale leefomgeving ontstaan, een virtuele
leefwereld die in al haar vezels en haar�vaten verankerd is in de lokale, fysieke wereld.
Internet dringt diep door in ons alledaagse en persoonlijke en publieke leven. De meest
uiteenlopende activiteiten worden tegenwoordig virtueel afgehandeld. We werken en studeren via
internet. We gebruiken internet om met elkaar te com�mu�niceren en van informatie te
voorzien. We kopen goederen en diensten op com�merciële websites en via online bankieren
regelen we ons betalingsverkeer. We amuseren ons op internet en spelen online spelletjes. We
geven lucht aan onze emoties, publiceren onze meningen, verhalen en analyses en we leveren
online kritiek op anderen. In webfora uiten we onze diepste gevoelens en delen virtueel lief en
leed met elkaar. Internet is een medium van sociale nabijheid en van creativiteit.
In Nederland zijn de individuele burgers en de samenleving als geheel sterk afhankelijk geworden
van de informationele en commu�nicatieve mogelijkheden van het internet. Juist daarom zijn we
op dit punt ook erg kwetsbaar geworden. We zijn afhankelijk geworden van systemen die we niet
kunnen beschermen tegen kwaadaardige aanvallen.
We merken pas hoe afhankelijk we zijn van het internet als het niet meer werkt, of niet meer
werkt zoals wij verwachten. Individuele burgers, ondernemingen en overheden lopen averij als de
computersystemen en netwerken door kwaad�wil�len�den wordt gemanipuleerd en ontregeld.
Internet heeft ons veel nieuwe mogelijkheden en comfort geboden. Maar het biedt juist ook veel
schaduwzijden. Die duistere kant van het internet loopt van online bedreigingen en cyberbelaging,
tot online pedofilie tot identiteitsdiefstal en schending van privacy, van cybercriminaliteit (fraude,
diefstal, oplichting) tot cyberterrorisme, en eindigt met nationale staten die via het internet
elkaars vitale infrastructuren ontregelen en zelfs fysiek vernietigen. We kunnen via internet
worden bedreigd, bespioneerd, afgeperst, bestolen en beschadigd.
Internet is zowel medium als inzet van maatschappelijke en politieke strijd. Het is het virtuele
toneel geworden waarop maatschappelijke conflicten worden uitge�vochten. Activisten met de
meest uiteenlopende doelstellingen en strijdmetho�den gebrui�ken internet als platform om zich
virtueel te organiseren: zij publice�ren hun kritieken, programma�s en eisen; zij werven
aanhan�gers en fondsen; zij mobiliseren hun achterban; zij protesteren bij hun
con�flict�tegenstanders of blok�keren hun internetlocaties; en zij organiseren internationale
solidariteit. Bur�gers in landen met dictatoriale regimes gebruiken internet om het
staats�monopo�lie op tv, radio en kranten te doorbreken. Zij associ�ren zich in de virtuele
ruimte als �wolkbe�we�ging� om daarna onverwachts in de publieke ruimte op straten en
pleinen massaal in beweging te komen.
Internet wordt gebruikt door een uitgebreide schare cybercriminelen die zich onrechtmatig
proberen te verrijken. Het zijn de kleine fraudeurs, gouw�die�ven en bedriegers die telkens weer
nieuwe trucs bedenken om geld te stelen van parti�cu�lie�ren en ondernemingen. Er zijn ook
internatio�naal georganiseerde criminelen en misdaadsyndicaten die gigantische sommen geld
stelen door goed georkes�treerde cyberovervallen op banken en door zeer geraffineerde
beursmanipulaties.
Daarnaast zijn er tal van paramilitaire groepen en netwerken van nationalis�tische hackers die
min of meer los of juist op instigatie van hun nationale over�heden grootschalige cyberaanvallen
lanceren op buitenlandse websites, data�banken, servers, computersystemen en netwerken. Zij
maken mees�tal gebruik van de oude techniek van de DoS-blokkade (het overstromen van een
website of server met automatisch gegenereerd verkeer: een soort digitale sit-in) en van de
webonthoofding (het vervangen van de hoofdpagina van een site met een eigen boodschap). In de
loop der tijd wordt ook door hen meer gebruik gemaakt van de verspreiding van geavanceerde
kwaadaardige software.
Cyberaanvallen richten steeds meer schade aan. Zij belemmeren en ontre�ge�len regelmatig
vitale bedrijfssectoren, nutsvoorzieningen, financi�le markten en staatsinstellingen. De niet-
statelijke vormen van cyberagressie worden echter steeds meer overtroffen door nationale
staten die hun militaire capaciteiten hebben uitgebreid met krachtige cyberwapens waarmee
internationale conflicten worden uitgevochten. Militaire cyberwapens worden bedacht en
ontworpen door zeer goed gekwalificeerde specialisten op het gebied van het inbreken (hacken)
op en manipuleren van vijandige computersystemen.
Cyberconflicten
Doel Methode
CyberVandalisme Verdrijven van verveling, irriteren Het vandaliseren van willekeurige sites en servers “voor
om aandacht. Geen de lol” of uit nieuwsgierigheid: “kijken of het kan”.
maatschappelijk, politiek of
financieel doel.
CyberTerrorisme Vijanden van de juiste leer zoveel Ideologisch niet op geldelijk winst gericht.
mogelijk schade berokkenen: angst Spectaculaire cyberaanslagen op als vijandig
zaaien. gedefinieerde digitale doelwitten.
Terroristische organisaties hebben steeds meer
belangstelling voor de ontwikkeling van offensieve
cybercapaciteiten. Hun slagkracht is beperkt door de
beschikbare intellectuele en organisationele bronnen
Aan deze opsomming zou nog «hacken» kunnen worden toegevoegd. De meeste ethische of white hat hackers
inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen en netwerken. Hun doel is het
aantonen —middels volledige of verantwoordelijke bekendmaking— dat deze systemen en netwerken inadequaat
beveiligd zijn en dat het mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven
als ‘binnendringen omdat het kan’ en ’lekken zoeken omdat er lekken zijn’, zonder onnodige schade aan te richten.
Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste cyberveiligheid.
1. Toegang blokkeren
2. Bedrijfsspionage
3. Inbreken en controle overnemen
Gericht op financieel gewin: (a) grootschalige aanval op bankklanten met gebruik van
malware stelen van fondsen/plundereen van rekeningen; (b) Fraude tegen bakend
betalingssystemen.
Cybercriminelen hoeven niet fysiek aanwezig te zijn op de plek van de misdaad, terwijl er veel te
halen valt. In tegenstelling tot de conventionele misdaad, kan een cybercrimineel meerdere
misdaden op hetzelfde moment plegen. Het is een ‘high profit, low risk’ markt.
De digitale revolutie heeft de wijze van criminaliteit op minstens drie manieren veranderd: de
middelen, het domein en de organisatie.
In de eerste plaats zijn de middelen waarmee het delict wordt begaan. Klassieke criminaliteit
werd bedreven met fysiek geweld en fysieke middelen (breekijzers, wapens). Bij
cybercriminaliteit speelt fysiek geweld geen rol en wordt gebruik gemaakt van ‘zachte’ digitale
wapens: computercodes. De criminelen van vandaag dragen niet allemaal een vuurwapen of
een mes, maar ze hebben wel allemaal minstens een smartphone, tablet, pc, webmailaccount
en soms zelfs een Facebookprofiel.
In de tweede plaats is het domein van de misdaad uitgebreid. Cyberspace is een geheel nieuw
domein waarvan de infrastructuur gevormd wordt door computersystemen en virtuele
netwerken. In dat domein regelen we tegenwoordig al onze bankzaken, we bestellen er onze
goederen en diensten, we verrichten er een groot deel van ons werk, we koesteren er onze
sociale en intieme contacten enz. Ons dagelijks leven erg afhankelijk van geworden van het
goed en betrouwbaar functioneren van het internet en van mobiele communicatienetwerken.
Wat is Cyberspace?
«Internet» is het wereldwijde netwerk van computernetwerken dat de TCP/IP netwerkprotocollen gebruikt om
communicatie en overdracht van informatie te faciliteren. Internet vormt samen met mobiele netwerken de
materiële infrastructuur van cyberspace.
«Cyberspace» is het geheel van virtuele (door internet en mobiele communicatie gefaciliteerde en
gemedieerde) interacties en transacties tussen mensen. Cyberspace is dus gedefinieerd door de sociale
interacties en transacties die zich via digitale media voltrekken en niet zozeer door de technologische
eigenaardigheden van het internet of mobiele telecom.
In de derde plaats wordt de organisatie van het delict gevirtualiseerd. Criminele activiteiten
waren altijd al afhankelijk van de nauwkeurigheid en betrouwbaarheid van de informatie
waarover men beschikt. WIJZIG: De media waarmee deze informatie werd ingewonnen en
overgedragen, konden door de conflicttegenstander worden gemanipuleerd en verstoord. In het
digitale tijdperk is dat niet anders. Computersystemen en -netwerken zijn een belangrijk
kanaal geworden voor de uitwisseling van militaire commando- en stafinformatie door het
leveren van tekst, geluid, afbeeldingen en streaming video.
1. Cybercrime — definitie
ICT heeft een grote betekenis gekregen voor de verschijningsvormen en werkwijzen van
georganiseerde misdaad. Een substantieel deel van traditionele georganiseerde misdaad heeft
inmiddels de overstap naar cybercriminaliteit gemaakt. Klassieke delicten (bankoverval,
afpersing, fraude) worden door gebruik van internet verrijkt. Maar er ontstaan ook nieuwe
vormen van criminaliteit.
Computer/cyber ondersteunde misdaad = mensen die zich bezig houden met normale misdaad
waarbij gebruik gemaakt wordt van computers om effici�nter en op grotere schaal te
opereren. Klassieke delicten worden mede door gebruik van ict gepleegd. Voorbeelden daarvan
zijn acquisitiefraude, fraude met betaalmiddelen, beleggingsfraude, productie en verspreiding
van kinderporno, fraude op online handelsplaatsen, telecomfraude, voorschotfraude, skimming,
bedrijfsspionage, afpersing en ladingdiefstal.
Er is nog een derde manier waarop ict gebruikt wordt door criminelen: in hun strijd tegen
politie en justitie maken zij gebruik van verschillende simkaarten, hotspots, VoIP-programma’s,
chatprogramma’s, online opslagdiensten, cryptofoons, stemvervormers, stealthphones, gsm-
afluisterzenders, gsm- en gps-jammers, peilbakens en sweepers. Het Tor-netwerk wordt
gebruikt voor wapenhandel, mensenhandel, drugshandel en handel in gestolen creditcards,
Het is een misdaad zonder geweld. Trekt ook andere soorten mensen aan.
Oorlog is het gebruik van militaire kracht om een andere natie aan te vallen en haar
capaciteiten te beschadigen of te vernietigen en haar wil tot verzet te breken. Een cyberoorlog
is een militair conflict tussen nationale staten dat in de virtuele ruimte wordt uitgevochten met
de middelen van informatie- en communicatietechnologie. Een cyberoorlog bestaat uit militaire
operaties die zich met zuiver digitale middelen richten op het manipuleren, ontregelen,
degraderen of vernietigen van computersystemen en infrastucturele netwerken van een
vijandige macht of mogendheid.
2. Misdaad op afstand
De klassieke misdaad —diefstal, bankroof, wapen- en mensensmokkel, drugscriminaliteit— zijn
fysiek van aard. Er zijn mensen en objecten die van plaats veranderen en die de grens
overgaan. Bij een cybercrime is er geen fysiek contact tussen misdadiger en slachtoffer en
worden ook geen objecten van plaats veranderd. Cybercrime is een «delict op afstand» een
«teledelict».
5. Drempelverlaging
Cybercrime is laagdrempelig. Het kost een aanvaller bijna niets om een digitaal breekijzer
(crimeware) aan te schaffenin vergelijkingmet de winst die het kan opleveren. Cybercriminelen
kunnen snel schade toebrengen, vanaf iedere plek aan iedereen op de aardbol, tegen
verwaarloosbare kosten. Om cybercrimineel te worden hoef je geen computergenie te zijn. Je
hoeft zelf geen onderzoek te doen naar kwetsbaarheden in programmacode en je hoeft
Nieuwe actoren: De digitale technologie heeft individuen krachtiger gemaakt als nooit tevoren.
Teenagers die alleen opereerden zijn erin geslaagd om controlesystemen van vliegvelden te
ontregelen, grote online webshops plat te leggen en om de handel op de Nasdaq-beurs te
manipuleren. En wat individuen kunnen, dat kunnen organisatie ook en meestal beter.
Een georganiseerde cyberbende kan goed gestructureerd opereren zoals de traditionele maffia.
Maar het kan ook een kortdurend project zijn van een groep die een specifieke online misdaad
begaat of een specifiek slachtoffer of groep als doelwit kiest. De meeste cybercrimes worden
uitgevoerd door criminelen die opereren in los verbonden clandestiene netwerken en niet
zozeer in formele organisaties. Een cybercrime kan ook door individuen worden begaan die
alleen opereren maar die verbonden zijn aan een groter crimineel netwerk, zoals aan de
ondergrondse Tor-site van het ‘darknet’. Hoewel criminele in losse netwerken opereren wonen
de leden toch vaak relatief dicht bij elkaar zelfs wanneer hun aanvallen cross-nationaal zijn. Zij
opereren vaak in kleine lokale netwerken, of in groepen de gecentreerd zijn rond familieleden
en vrienden.
Hierdoor kunnen ook relatief kleine, in gedecentreerde netwerken georganiseerde vijanden van
een natie met uitzicht op succes een cyberoorlog beginnen. De cyberoorlog heeft dus ook
nieuwe acteurs: individuele hackers, niet-gouvernementele organisaties, terroristische
organisaties, en andere niet-statelijke actoren.
8. Escalatie en afschrikking
In de virtuele oorlogsvoering kunnen ver verwijderde conflicten direct naar het hart van de
aangevallen natie worden verplaatst. Kleinschalige of lokale conflicten kunnen zeer snel
escaleren tot nationale of internationale cyberstrategische confrontaties. Cyberoorlogen
vertonen een inherente tendens tot escalatie die zich nauwelijks meer beperkt worden door de
kracht van de afschrikking (die het uitbreken van een nucleaire oorlog tot nu toe heeft
voorkomen).
Een aanval op een computernetwerk kan niet direct worden toegeschreven aan specifieke
actoren. Omdat er gebruik gemaakt wordt van zombie-computers blijft niet alleen de identiteit
van cybercriminelen, maar ook hun geografische lokatie onduidelijk.
Een toetsaanslag reist in ongeveer 300 milliseconde twee keer rond de wereld. Maar het
forensisch onderzoek dat nodig is om een cybercrimineel te identificeren kan weken, maanden
en zelfs jaren duren — als het überhaupt al lukt om dit te doen. Het is extreem moeilijk om
vast te stellen waar een cyberaanval precies vandaan komt en wie daarvoor verantwoordelijk
is. En als je niet weet aan wie je een cybercriminele aanval kunt toeschrijven, is het onmogelijk
om zo’n delict te bestraffen.
Van afschrikking is sprake wanneer een potenti�le wetsovertreder afziet van criminele actie omdat de kans
groot is dat hij/zij hiervoor gestrafd zal worden. Dit is gebaseerd op de vooronderstelling dat cybercriminelen
rationele keuzes maken en dat het verhogen van de kosten van illegaal gedrag hen ervan weerhoudt om een
delict te plegen. In werkelijkheid plegen cybercriminelen vaak impulsief een misdaad (al dan niet onder invloed
van drank, drugs of uitzichtloze hoge schulden) of gewoon omdat de gelegenheid tot zelfverrijking zich
plotseling aandient.
Zelfs als criminelen rationeel proberen te opereren dan wordt de rationaliteit van hun beslissingen beperkt door
de gelimiteerde informatie waarover zij beschikken (hun kennis van de wetgeving en van
opsporingsmethoden). Alleen de technologisch en juridisch slimste cybercriminelen zijn in staat om hun
pakkans realistisch in te schatten. Bovendien blijkt uit vele studies dat het opvoeren van de hoogte van de
straf geen effectieve afschrikkende werking heeft. Vooral niet omdat potenti�le wetsovertreders vaak zeer
Beperkte rechtsmacht
Daarbij komt direct het probleem van de beperkte jurisdictie (= rechtsmacht) om de hoek kijken. Wanneer
cybercriminelen vanuit andere landen delicten begaan, dan hebben opsporingsautoriteiten niet automatisch het
recht om hun onderzoek in dit vermoedde land van herkomst uit te voeren. De rechtsmacht heeft betrekking
op het gebied waarover een overheidsorgaan bevoegd is.
De jurisdictie is dus altijd specifiek geografisch afgebakend door het territorialiteitsbeginsel. Volgens
internationaal recht zijn de jurisdictie van de wergevende en uitvoerende macht beperkt tot het grondgebeid
van de staat waartoe zij behoren. Zij hebben dus geen rechtsmacht over het grondgebied van andere
soevereine staten. Politie en veiligheidsdiensten van het ene land hebben geen bevoegdheden (en mogen dus
geen zelfstandige handelingen verrichten) in het andere land. Dit impliceert alleen de dader van een strafbaar
feit dat in Nederland gepleegd ook in Nederland vervolgd kan worden.
Binnen de Europese Unie zijn verdragen gesloten die de politie beperkte jurisdictie geven op het grondgebied
van andere lidstaten. Zo mag de politie op grond van het Verdrag van Schengen in geval van observaties en
achtervolgingen deze activiteiten onder bepaalde voorwaarden voortzetten wanneer ze tijdens de uitvoering
een grens met een andere lidstaat passeren.
De Schengenakkoorden stimuleerde intensievere politi�le samenwerking en kende een geclausuleerd recht toe
om personen tot buiten het nationale grondgebeid te observeren of te achtervolgen. De nationale polite mag
achtervolgingen voortzetten in alle landen die open grenzen hebben (geen paspoortcontroles). De politie van
Schengenlanden mag tien kilometer over de grens van een ander Schengenland rijden en hoogstens 45
minuten zonder toestemming wapens dragen in een ander Schengenland. Leidend beginsel is dat agenten zich
richten naar de bevoegdheden van het land waarin men op dat moment opereert.
Het Schengen Informatie Systeem (SIS) is een geavanceerde databank waarmee de verantwoordelijke
autoriteiten van de Schengenlanden gegevens over bepaalde categorie�n personen en goederen kunnen
uitwisselen. Het SIS (op nationaal niveau Sirene) is een internationaal geautomatiseerd signaleringssysteem
van personen en goederen. Het wisselt informatie uit over terrorisme, databankgegevens over DNA en
vingerafdrukken. De databank bevat informatie over mensen die gezocht worden, mensen die grote delen van
de Europese Unie niet in mogen, vermiste personen, gezochte getuigen en verdachten en gestolen
voorwerpen. Het doel daarvan is het verbeteren van de samenwerking en co�rdinatie tussen de
politiediensten en de justiti�le autoriteiten om de binnenlandse veiligheid van de lidstaten te behouden en met
name om de georganiseerde misdaad te bestrijden.
In de praktijk lijkt het SIS vooral gebruikt te worden om de immigratie te beperken. Bovendien is de kwaliteit
van de informatie slecht en daarom onbetrouwbaar. “De Duitse Federale Datenschutzbeauftragter, een privacy
waakhond, toonde in 2004 aan dat 20 procent van de onderzochte Duitse signaleringen gebaseerd is op een
onjuiste rechtsbasis, ofwel niet terecht. In Frankrijk bleek tussen 2003 en 2005 40 tot 45 procent van de
onderzochte signaleringen onjuist of onrechtmatig. In totaal zijn er ruim 17 miljoen signaleringen in het SIS
opgenomen, waarvan 1 miljoen mensen” [Europese politie en justitie samenwerking].
te pareren, terwijl een criminele aanval maar ��n keer succesvol hoeft te zijn. Criminele
cyberaanvallen kunnen eindeloos worden gevarieerd, terwijl verdedigingen slechts zo sterk zijn
als hun zwakste schakel.
Het grootste gevaar in deze strijd om het intellect schuilt vaak in de eigen organisatie:
ontevreden personeelsleden en rancuneuze ex-werknemers die zich laten rekruteren door
criminele bendes.
Een cyberdelict wordt gepleegd met louter of primair digitale middelen. Maar in haar gevolgen
kan een cyberdelict voor de slachtoffers even schadelijke gevolgen hebben als een straatroof of
een fysieke gijzeling.
Kenmerken Gevolgen
Strategische informatie over criminele dreigingen Cybercapaciteiten van cybercriminelen zijn moeilijk in te schatten.
niet beschikbaar.
Attributie
Anonimiteit & Lokaliteit
Niet weten wie de cybercrimineel is en waar deze zich bevind.
Identiteit en lokaliteit van cybercriminelen is
Opsporingsoperaties zijn daarom problematisch. Pakkans voor
moeilijk te achterhalen.
cybercriminelen is laag.
Veel slachtoffers Cybercrime treft zeer grote aantallen slachtoffers die over de hele wereld
Cybercriminelen richten zich meestal op zijn verspreid.
meerdere doelwitten tegelijk. Gelijktijdig worden
inbraken gepleegd op honderdduizenden,
miljoenen of zelfs miljarden computers. Malware
verspreid zich zeer snel.
Snelheid & Variatie Door criminele exploitatie van nog niet bekende kwetsbaarheden (zero-
Cybercriminele operaties voltrekken zich in een day lekken) en talloze variaties op bestaande malware is passieve
zeer kort tijdsbestek. Door vergaande verdediging (het d.m.v. firewalls en virusdetecties tegenhouden van reeds
automatisering van de cyberkraak en veel bekende malware) steeds minder effectief.
variatie in aanvalspatronen (flexibel,
snelontwikkelend)
“ahumahum” [].
Net als in de lokale wereld vindt er in cyberspace een permanente wedloop plaats tussen
criminelen en rechtshandhavers. De cybercriminelen zijn daarbij feitelijk maar ook structureel in
het voordeel. Om criminaliteit op of via het internet te bestrijden moeten we de aanvalsmethoden
van cybercriminelen begrijpen.
Internet is een robuust netwerk dat van buitenaf niet gemakkelijk uit de digitale lucht of de
virtuele wolken is te blazen. Maar al die computersystemen en netwerken kennen ook een aantal
interne faalpunten waardoor zij onveilig worden: (a) de omvang en complexiteit van de software,
(b) de ongecontroleerde, en dus onveilige wijze van hard- en softwareproductie, en (c) de
slordige, onverantwoordelijke manier waarop mensen met hun computers en netwerken omgaan.
Software is robuust waneer er slechts zelden fouten optreden die slechts kleine
onaangenaamheden met zich meebrengen en geen grotere schade of verliezen veroorzaken.
Maar door de omvang van de huidige computerprogramma’s is robuuste software (safeware)
een zeldzaamheid.
Cyberspace wordt geregeerd door laws of code Open Source Software is niet noodzakelijk
beter of veiliger. Dit type niet-commerciële
(Lawrence Lessig) die door mensen zijn gemaakt en
software, waarvan de ontwikkelingscode
ontworpen zijn om de meest uiteenlopende doelen te openbaar toegankelijk is, wordt door een
veelvoud van programmeurs gezamenlijk
dienen. De besturingssystemen van Windows en
ontwikkeld: “given enough eyeballs, all bugs
Apple bevatten elk meer dan 80 miljoen regels code. are shallow.” Open source software bevat
De Linux Kernel bevat slechts 15,9 miljoen regels, daarom veel minder programmeringsfouten
(metingen laten zien dat het foutenpercentage
maar de Linux Debion 5.0 bevat maar liefst 324 0,02% is). Maar ook deze systemen zijn nog
miljoen regels code. Elke regel bevat een aantal altijd veel te complex en bieden daarom nog
voldoende ingangen voor geraffineerde
instructies of een bepaalde informatie. Alleen al de aanvallers.
omvang van het aantal coderegels biedt vele
mogelijkheden om programmeringsfouten te maken.
Bij commercieel geproduceerde software ligt de foutenmarge tussen de 1,5% en 5%. Met meer
dan 80 miljoen regels betekent dit dat er gemiddeld zo’n 1,2 tot 1,4 miljoen fouten zitten in de
besturingssoftware. Lang niet al deze fouten zijn veiligheidslekken die door hackers kunnen
worden uitgebuit. Maar een geraffineerde aanvaller is desondanks in staat enige tienduizenden
van deze fouten uit te buiten. Er zijn dus zeer veel invalswegen die gesloten moeten worden
Statistisch onderzoek laat zien dat er gemiddeld 2 à 3 fouten worden gemaakt in elke 1.000 regels code. Bij
software waarbij de uitval mensenlevens kan kosten, zoals bij militaire of ziekenhuissystemen, wordt een
foutdichtheid van < 0,5 fouten per 1.000 regels code nagestreefd. Meestal wordt gestreefd naar een
foutdichtheid van < 2, normaal is 2-6 en acceptabel (alleen in de sfeer van het web) is 6-10. Meer dan 10
fouten geldt als wanprestatie en kan voor een rechtbank tot compensatiebetaling leiden.
Voor elke 7-10 regels nieuwe of gewijzigde code wordt 1 fout geïntroduceerd. Zelfs als 99% van die fouten
wordt geëlimineerd voordat de software wordt gelanceerd, resulteert dit in 1 tot 1,5 fouten in elke 1.000 regels
nieuwe en gewijzigde code. Meer dan 90% van de kwetsbaarheid van software wordt veroorzaakt door
programmeringsfouten. De defecten die ontsnappen aan het testen, worden geëxploiteerd door hackers om
cyberaanvallen te lanceren.
Elke ervaren programmeur weet dat softwarefouten onvermijdelijk zijn. Zij zijn een natuurlijk onderdeel van
het evolutionaire proces dat de meeste toepassingen doorlopen [Beckett/Putnam 2010]. De meeste
veiligheidslekken zijn het gevolg van fouten die onbewust geïntroduceerd zijn tijdens het ontwerp en de
ontwikkeling van software. Foutenreductie is een voorwaarde voor veilige software ontwikkeling [Noopur
2005].
De software die gebruikt werd voor de eerste maanlanding in 1969 bevatte ongeveer 7.500 regels code. De
gemiddelde mobiele telefoon bevatte in 2005 al 2 miljoen regel software code. In 2008 was dit al gestegen tot
5 miljoen en voor de Android tot 11 miljoen. Volgens General Motors bevatten haar auto’s nu al zo’n 100
miljoen coderegels.
Ten eerste weten we niet precies wat een veiligheidsrisico is. Er zijn diverse instrumenten
waarmee fouten in de programmeringscode kunnen worden opgespoord (bug-tracker), maar er
zijn nog geen betrouwbare geautomatiseerde procedures om software op fouten te testen.
Slechts een aantal bekende standaardfouten kan automatisch worden opgespoord. Er zullen
altijd achterdeurtjes zijn en een hacker zal altijd een weg naar binnen weten te vinden. Ten
tweede worden er regelmatig nieuwe aanvalsvarianten gevonden waarvan het risico (d.w.z. de
kans op het optreden van een succesvolle aanval en de schade als gevolg daarvan) niet was
voorzien.
worden. De software industrie wordt nog in sterke mate bepaald door de cultuur van: ‘Deliver
now, fix later’ [Seshagiri 2011].
Sommige systemen zijn zo complex dat zij het begrip van bijna alle experts te boven gaan.
Zelfs de weinige experts die ze wel begrijpen, hebben onvolledige informatie over het
potentiële gedrag van de software. Hoe groter de complexiteit van de software hoe moeilijker
het is om deze te actualiseren (upgraden), te onderhouden en verder te ontwikkelen — zonder
dat ze instabiel wordt en zonder verlies van functionaliteit.
We bouwen dus systemen die ons vermogen tot intellectuele beheersing te boven gaan. De
toegenomen interactieve complexiteit maakt het voor ontwerpers moeilijk rekening te houden
met alle potentiële systeemtoestanden. Voor beheerders wordt het steeds lastiger om alle
abnormale situaties en verstoringen veilig en effectief te behandelen [Leveson 2004].
Een hacker hoeft in zo’n complex programma slechts één losse draad te vinden om de
veiligheid van het hele systeem te compromitteren. In de vele miljoenen coderegels hoeft er
maar één teken gewijzigd te worden om de betekenis van een hele coderegel te veranderen,
waardoor er op een andere plaats een deur wordt geopend die juist tot elke prijs gesloten zou
moeten blijven [Gaycken 2012:48].
We werken met een technologie waarvan we tot in de kleinste uithoeken van de samenleving
afhankelijk zijn, maar die fundamenteel onzeker en onbeheersbaar is. Naast dit louter
technische probleem zijn er nog twee andere bronnen van onveiligheid: de productie en het
gebruik van ICT.
De productie van hard- en software verloopt anders dan in een gewone wapenindustrie. De
mensen die in de ontwikkelingsplatforms werken, worden niet gescreend. Een programmeur
werkt nu eens hier dan weer daar, zonder dat iemand weet of deze programmeur heimelijk
voor een concurrent, een geheime dienst of misdaadsyndicaat werkt. Ook de gebouwen waarin
de software wordt ontwikkeld zijn meestal slecht beveiligd. Voor slimme aanvallers is het
tamelijk eenvoudig om in de softwareproductie in te breken. Ze kunnen op elke plaats iemand
binnensluizen die de meest uiteenlopende clandestiene acties kan uitvoeren. Een infiltrant kan
veiligheidsgaten inbouwen waardoor men een directe en exclusieve toegang krijgt tot de
werking van de software. Voor nationale staten is dat buitengewoon aantrekkelijk: spionage en
manipulatie worden kinderspel. De kosten van een infiltrant zijn gering: 50 tot 100.000 dollar.
Dat is een koopje als je voor deze som een achterdeur in een besturingssysteem dat over de
hele wereld verspreid wordt kunt inbouwen.
Software maken
Een intelligente techniek van cyberterroristen is het zelf maken van software. Een
opmerkelijk voorbeeld daarvan deed zich voor in Japan. In
maart 2000 meldde het Japanse Metropolitan Police
Department dat zij een software systeem had laten bouwen
om de 150 politiewagens, inclusief politieauto’s zonder
herkenningstekens, te traceren. Later bleek dat het
programma was ontwikkeld door de Aum Shinryko sekte,
Bij de productie van software
dezelfde groep die in 1995 zenuwgas in de metro van Tokyo kunnen Trojaanse paarden worden
geïnstalleerd die op een later
liet ontsnappen, waardoor 12 mensen werden gedood en tijdstip geactiveerd worden om
cyberaanvallen te lanceren of te
6.000 mensen gewond raakten. Toen het Trojaanse paard vergemakkelijken.
ontdekt werd, had de sekte al de geclassificeerde gegevens over 115 voertuigen ontvangen.
Bovendien had de sekte software ontwikkeld voor minstens 80 Japanse bedrijven en 10
overheidsinstellingen. Mantelorganisaties van de Aum sekte hadden als onderaannemers
voor andere bedrijven gewerkt, waardoor het bijna onmogelijk werd om te achterhalen wie
de software eigenlijk ontwikkelde.
In een rapport van militaire commissie van de Amerikaanse Senaat, Inquiry into counterfeit
electronic parts in the Department of Defense supply chain [21.5.2012], werd onthuld dat
grote aantallen vervalste elektronische onderdelen hun weg hebben weten te vinden naar
kritische defensiesystemen. Deze vervalste elektronische onderdelen waren overwegend
(70%) van Chinese makelij.
Het internet en de toenemende complexiteit van elektronische circuits hebben het veel
eenvoudiger gemaakt om «kill switches» en achterdeurtjes in te bouwen waarmee
apparaten waarin kunnen worden ontregeld of uitschakeld. Een chip kan twee miljard
transistors (elektronische schakelingen) bevatten. Dit biedt voldoende ruimte om een paar
schakelingen in te bouwen die clandestien opereren. Chips kunnen zo worden ontworpen dat
zij op een bepaalde datum zichzelf vernietigen. Een component die er onschuldig uit ziet of
zelfs een heel klein beetje soldeer kan een verborgen antenne zijn. Wanneer een chip een
radiosignaal ontvangt van een mobieltje, een vliegtuig of een satelliet kan het apparaat
zichzelf opblazen, uitschakelen of anders gaan werken.
De «kill switches» en achterdeurtjes werken net als landmijnen. Ze worden door heimelijk
verborgen in elektronische apparatuur totdat zij in een confrontatie worden geactiveerd.
Deze landmijnen zijn bijzonder destructief omdat zij worden ingebouwd in geavanceerde
wapensystemen en in de vitale infrastructuur van een land.
Een simpel maar effectief voorbeeld stamt uit de Eerste Golfoorlog in 1991. Het leger van
Irak gebruikte in Noord-Amerika gefabriceerde kleurenkopieermachines om haar
strijdplannen uit te werken. Dat hadden zij beter niet kunnen doen. In het elektronisch
circuit van deze kopieermachines waren zenders verborgen die hun locatie verraadden.
Hierdoor waren Amerikaanse gevechtsvliegtuigen in staat om meer precieze
bombardementen en raketaanvallen lanceren. ‘Turning assets into liabilities’, wordt dat
genoemd — maak van een lust een last [The Economist, 7.4.11].
Computers verkopen
De supergeheime Israëlische Eenheid 8200 is gespecialiseerd op cyberoorlog. Er werken
tienduizenden militairen die allerlei transmissies en elektronische signalen van naburige
vijandige staten verwerken. Isra�lische spionnen rekruteerden in Iran zakenlieden die
elektronische apparatuur en computers importeerden en verkochten aan het Iraanse leger
en het Iraanse atoomproject. De computers werden aangeleverd door de Mossad en waren
ge�nfecteerd met Trojaanse paarden en virussen. Zodra ze geïnstalleerd werden in de
militaire of nucleaire installaties begonnen ze informatie terug te sturen naar Israë [Ronen
Bergman in EenVandaag,19.11.10].
De veiligheidsrisico’s van de software waarmee gewerkt wordt zijn dus enorm. Die risico’s zijn
al ingebakken in het ontwerp en de programmering van de software technologie, en ze nemen
alleen maar toe bij de productie en het gebruik van ICT. Hoe grotere en complexer een systeem
is, des te eenvoudiger is het voor een cybercrimineel om een zwakte te identificeren en uit te
buiten.
Een andere grote zwakte is het netwerkontwerp. Veel netwerken zijn te plat. In platte
netwerken kan vanuit elk station van het netwerk alle andere stations worden bereikt zonder
tussenkomst van bewaakte bruggen of interne brandgangen. Sterk geseggregeerde netwerken zijn
minder flexibel en het beheer is minder kostbaar. Maar in platte netwerken kunnen
cybercriminelen makkelijk rondsnuffelen op zoek naar systemen waarin waardevolle,
vertrouwelijke of geheime informatie is opgeslagen.
Het beveiligingsbedrijf ITSX ontdekte het lek en scande ruim de helft van de 48 miljoen IP-
adressen in Nederland. Bij 13.656 adressen waren alle instellingen en wachtwoorden uit te lezen.
Bij 2.294 adressen konden de systemen volledig worden overgenomen of gecyboteerd. Daartoe
behoorden ook enkele banken, supermarktketens, grote internetproviders en
overheidsinstellingen.
Het rapport van het ITSX laat zien dat het slecht gesteld is met de beveiliging van
infrastructuurcomponenten in Nederland.
“Hoewel SNMP veelal op interne netwerken wordt gebruikt, blijkt uit ons onderzoek dat in Nederland ook
tienduizenden systemen publieke SNMP toegang aanbieden via internet waardoor hun configuratie kan worden
uitgelezen. Van enkele duizenden systemen kan de configuratie door iedereen over internet zelfs worden
gewijzigd, en daarmee kan een aanvaller de controle over deze componenten overnemen.
Onder deze systemen bevinden zich gevoelige componenten als routers, firewalls en servers, voornamelijk van
midden- en kleinbedrijf maar ook van enkele grote bedrijven en overheidsgerelateerde organisaties. In het
scenario dat deze componenten door een kwaadaardige aanvaller tegelijk en op afstand worden uitgeschakeld of
overgenomen, kan dit leiden tot significante schade, zowel voor de individuele organisatie als wellicht ook de
maatschappij.
Daarnaast kan toegang tot deze componenten worden misbruikt voor complexere aanvallen zoals het afluisteren
van internetverkeer. Het verkrijgen van ongeautoriseerde toegang tot SNMP (via het internet) vormt hiermee
een reële bedreiging voor bedrijven en organisaties in Nederland” [ITSX, 1.11.2012].
De problemen met SNMP zijn al meer dan twintig jaar Oude kwaal
In 2000 werd SNMP al opgenomen in de Top 19
bekend. maar voor de fabrikanten van die technologie
beveiligingsproblemen [Sans 2000]. Ook
was dit tot nu toe geen aanleiding om maatregelen te daarna wordt regelmatig voor SNMP-lekken
gewaarschuwd. In 2008 scanden Amerikaanse
nemen. Providers en systeembeheerders die gebruik
onderzoekers 2,5 miljoen willekeurige IP-
maken van professionele producten laten het SNMP- adressen op problemen en vonden 5.000
protocol uit gemakzucht of onkunde ongewijzigd kwetsbare apparaten [Guchitzen, 3.3.2008].
aanstaan zonder dat zij zich bewust zijn van de risico’s die daaraan verbonden zijn. Particuliere
consumenten schaffen onveilig geconfigureerde apparaten aan of krijgen deze geleverd door hun
providers.
De discussie over de IP-scan wijst erop dat er nog steeds geen duidelijke criteria zijn om te beslissen wat een
‘cyberdelict’ is en wat niet. Tot 1998 rekende het Amerikaanse Ministerie van Defensie elke poging om een telnet-
verbinding (vergelijkbaar met kloppen op een gesloten deur) te leggen als een elektronische aanval [Niall McKay,
in: Wired, 10.16.98.
“Malware is one of the most terrible and major security threats facing the Internet today”
[Gantotra/Bansal/Sofat 2014]
De pest is uitgebroken
Technisch gezien hebben cybercriminelen dus goede kansen om een systeem te breken, of nog
erger: om in een systeem in te breken en met eigen bevelen te sturen zonder dat de eigenaar van
dat systeem het door heeft. Het is vaak al voldoende om slechts een paar coderegels te wijzigen.
Maar zelfs als daar een paar honderd coderegels voor nodig zijn, is dat altijd nog erg weinig — en
die paar extra regels kunnen makkelijk worden verborgen. Op het niveau van de productie is er
maar één infiltrant nodig om achterdeurtjes in de software in te bouwen of dst al in de hardware
te arrangeren. Op niveau van gebruik is slechts één kort contact met usb-stick nodig om een heel
netwerk te infiltreren. Met een goed voorbereidde operatie is het bijna altijd mogelijk om een
organisatielid te verleiden om op een verkeerde link te klikken.
Er bestaat dus een extreem grote asymmetrie tussen verdediging en aanval: de aanval is
verschrikkelijk makkelijk, de verdediging zo goed als onmogelijk. De grootste bedreiging is dat er
zoveel bedreigingen zijn. Het lijkt wel of de pest is uitgebroken in cyberica. Bijna elk jaar
verdubbelt het aantal virussen. In de databank van McAfee waren in 2012 al 100 miljoen unieke
exemplaren malware opgeslagen [McAfee 2012]. Eind 2013 waren het er al 200 miljoen en in het
tweede kwartaal van 2015 al meer dan 250 miljoen. De helft daarvan behoorde tot de dierentuin
van de mobiele malware [McAfee, 2013; McAfee, 2014].
Het AV-Test Institute registreert dagelijks meer dan 200.000 nieuwe malware programma’s — meer dan 5 miljoen
per maand.
Malware varianten
Malware is kwaadaardige/schadelijke software of zo men wil schoftware. Malware is geen slechte
software die schade berokkent omdat er fouten (bugs) in zitten of omdat ze slecht ontworpen is.
Malware is software die opzettelijk schade veroorzaakt.
Er zijn zes basistypen van malware: virussen, wormen, Trojaanse paarden, ransomware, rootkits
en botnets.
Virussen
Een computervirus is een zichzelf replicerende programmacode
die zonder toestemming van de gebruiker ge�nstalleerd wordt
in bestaande programma’s. Virussen hechten zichzelf aan
legitieme programma’s, net zoals een parasiet zichzelf hecht aan
een gastorganisme. Zij veroorzaken directe schade aan de
geïnfecteerde computer, vooral wanneer zij zich nestelen in
besturingssysteem. De meeste virussen zijn niet giftig genoeg
om zich zelfstandig te verspreiden.
Bijna alle virussen zijn gehecht aan een uitvoerbaar bestand; de computer wordt pas besmet
als dat ge�nfecteerde bestand wordt geopend. Er zijn ook virussen die zichzelf automatisch
installeren nadat iemand een geïnfecteerde website heeft bezocht.
Tegenwoordig zijn virussen tamelijk zeldzaam omdat cybercriminelen proberen meer controle
te hebben over de verspreiding van hun malware. Bovendien worden nieuwe exemplaren snel
opgenomen in anti-virusprogramma’s.
Wormen
Wormen zijn zelfstandige programma’s die zichzelf van computer naar computer over een
netwerk verspreiden. Zonder tussenkomst van een gebruiker worden kopieën van de worm via
een netwerk doorgestuurd. Wormen zijn dus zichzelf vermenigvuldigende
computerprogramma’s die geen andere programma’s nodig hebben om zich aan vast te
hechten. Als een worm pas schade aanricht op een vooraf bepaald tijdstip (net als bij een
tijdbom) of op het moment dat de software een bepaalde verandering waarneemt, spreken we
van een logische bom. Het prototype daarvoor is de codebom van Timothy Lloyd.
Wormen kunnen zich volautomatisch verspreiden door een e-mail te genereren met een kopie van zichzelf als
bijlage middels het mailprogramma van de besmette gebruiker. De ontvanger denkt dan een legitieme e-mail
te krijgen omdat de afzender van de mail een bekend persoon is. Hij zal dan snel geneigd zijn de bijlage te
openen, zodat zijn eigen computer ook ge�nfecteerd wordt.
Wormen kunnen meer specifiek worden getypeerd door het soort netwerk dat zij gebruiken om
zichzelf te verspreiden:
Trojaanse paarden
Trojaanse paarden repliceren zichzelf niet en veroorzaken ook niet direct schade aan de
geïnfecteerde computer. Een Trojaans paard is een functie die verborgen zit een programma
dat door de gebruiker zelf wordt geïnstalleerd of in een bestand dat door de gebruiker zelf op
de lokale schijf van de computer wordt geplaatst. Als het legitieme bestand of programma door
de gebruikers wordt gestart, zal ook het kwaadaardige programma worden gestart. De
gebruiker zelf merkt hier helemaal niets van.
Via deze functie krijgt een aanvaller toegang tot en controle over de geïnfecteerde computer.
Een Trojaans paard opent dus een achterdeur op de computer en biedt daardoor op afstand
stiekem toegang voor een aanvaller (Backdoor Trojan). Via Trojaanse paarden wordt de
vertrouwelijkheid, integriteit of beschikbaarheid van de computer gecompromitteerd, of worden
De Trojanen waren ervan overtuigd dat de muur rondom de stad hen onoverwinnelijk maakte. Op zekere dag
werden zij verrast met een ontzaglijk groot houten paard dat triomfantelijk voor de muren van de stad stond.
De Trojanen dachten dat ze gezegend waren door de goden en haalden het paard de stad binnen,
nietsvermoedend over de ware inhoud van dit gigantische houtwerk.
De Grieken, waaronder de held van deze oorlog Achilles, hielden zich muisstil en wachtten tot diep in de nacht
om het houten paard te verlaten om de stad binnen haar eigen muren aan te vallen. Met deze veldslag wonnen
de Grieken na tien jaar alsnog de oorlog.
Het Paard van Troje werd een metafoor voor het binnenhalen van een gewenste zaak waarin ongewenste
lading is verborgen. Wie zo’n geschenk accepteert bewerkstelligt argeloos zijn eigen ondergang. Een bekend
voorbeeld uit de Nederlandse geschiedenis is het Turfschip van Breda.
Trojaanse paarden kunnen meer specifiek worden getypeerd door het soort acties die zij
heimelijk uitvoeren:
Trojan-Spy
Installeert spionageprogramma’s zoals keyloggers.
Trojan-PWS
Steelt wachtwoorden en andere gevoelige informatie
Trojan-Downloader
Download programma’s van een andere server, installeert ze en lanceert ze
Trojan-Dropper
Draagt ten minste ��n kwaadaardig programma dat het op de ge�nfecteerde computer
installeert en lanceert
Trojan-Proxy
Stelt cybercriminelen in staat om op afstand de ge�nfecteerde computer in een proxyserver
te veranderen om anoniem te opereren; de cybercrimineel anoniem allerlei illegale
activiteiten ondernemen of gebruiken om kwaadaardige aanvallen tegen andere netwerken
te ondernemen.
Trojan-Dialer
Ransomware
Ransomware is een type kwaadaardige software dat door cybercriminelen gebruikt wordt en
dat ontworpen is om geld van hun slachtoffers af te persen, door het encrypteren van
gegevens op de harde schijf, of door het blokkeren van toegang tot het systeem. Ransomware
wordt meestal verspreid doordat gebruikers achteloos een lokmail openen of een kwaadaardige
website bezoeken die door de cybercriminelen is opgezet.
Als het programma eenmaal is ge�nstalleerd begint het de harde schijf van de computer van
het slachtoffer te encrypteren of de toegang tot het systeem te blokkeren. Er verschijnt een
pop-up bericht waarin losgeld wordt gevraagd om de bestanden de decrypteren of het systeem
te herstellen.
Cybercriminelen gijzelen je computer om je geld af te Scareware — een zachte vorm van dwang
Bij scareware wordt een zachte vorm van
persen in ruil waarvoor je weer toegang krijgt tot de
dwang toegepast om geld van het slachtoffer
eigen computer (dat wordt beloofd, maar nooit af te troggelen. Je ontvangt een alarmerend
bericht waarin beweerd wordt dat jouw
gedaan). De slachtoffers worden bang gemaakt om
computer besmet is met een zeer gevaarlijk
hen te dwingen het losgeld te betalen. Op het virus. Om deze ellende van je computer te
verwijderen wordt je aangemoedigd om direct
blokkeerscherm wordt bijvoorbeeld gezegd dat de
(nep)antivirusbescherming te kopen.
toegang tot je computer geblokkeerd is omdat er
illegale software op is aangetroffen en dat je daarvoor alsnog onmiddellijk moet betalen.
In de bijzondere variant van policeware lijkt het bericht afkomstig te zijn van politiediensten of
justiti�le instellingen en wordt gezegd dat er kinderporno of ander illegaal materiaal op jouw
computer is aangetroffen waarvoor je een boete moet betalen [voorbeeld]. Om de ‘echtheid’
van deze mededeling te vergroten wordt daarbij in het blokkadescherm soms een foto van het
slachtoffer getoond die gemaakt is met de eigen webcam.
Rootkit
Een rootkit is een type malware dat specifiek ontworpen is om zijn aanwezigheid en acties te
verbergen voor zowel de gebruiker als voor beveiligingssoftware die op hun systeem is
ge�nstalleerd. Een rootkit nestelt zich diep in het besturingssysteem, soms zelfs al voordat het
besturingssysteem opstart (deze laatste variant wordt bootkit genoemd).
Middels een rootkit is het mogelijk om lopende processen, systeemdata of bestanden te lezen,
wijzigen of be�nvloeden. Cybercriminelen verwerven hierdoor een continue geprivilegieerde
toegang tot de gekaapte computer (Administrator access). Een rootkit voorziet de
cybercrimineel via een achterdeur van volledige toegang. Hij kan documenten stelen of
vervalsen, toetsaanslagen registeren, andere software installeren en lanceren, de microfoon of
camera aanzetten enz.
Omdat de rootkit zo diep in het besturingssysteem verankerd is, laat het zich bijna niet
verwijderen zonder de functie van het besturingssysteem te beschadigen.
Botnet
Een botnet is een netwerk van ge�nfecteerde computers die op afstand door een
cybercrimineel worden gecontroleerd. Het is een serie aan elkaar gekoppelde computers die
door een worm of Trojaans paard geïnfecteerd zijn met een kwaadaardige code. Hierdoor gaan
deze computers zich gedragen als een zombie of slaaf die wacht op commando’s van de
botnetbeheerder (bot herder) die moeten worden uitgevoerd. Daarom wordt een botnet ook
wel een zombienetwerk genoemd.
Tapijtbommen in cyberspace
Botnets kunnen als aanvalsmiddel worden ingezet, maar ook als een instrument voor een tegenaanval en van
vergelding. Sommige rechthandhavers bepleiten dat zij de ruimte krijgen om zelf een botnet van machines op
te bouwen die zulke grote hoeveelheden verkeer naar doelcomputers sturen dat zij niet meer gebruikt kunnen
worden om criminele operaties uit te voeren. Door het gooien van tapijtbommen in cyberspace zouden
criminelen worden afgeschrikt.
Nederland speelt een belangrijke rol in het verspreiden van malware en aansturen van besmette
computers die onderdeel zijn van een botnet. Van alle malware die er gemaakt wordt, komt 17%
uit Nederland. In 2011 was dit nog maar 11%. Nederland staat op de derde plek in de Top 10 van
landen die malware verspreiden (na de Verenigde Staten en Rusland) en op plaats vijf in de Top
10 van landen met Command & Control-servers [Websense, 2013] en op plaats 3 in de Top 3
bottnetlanden [McAfeee, 23.1.13]. In 2011 werd geschat dat tussen de 450.000 en 900.000
Nederlandse computers onderdeel van een botnet zijn. Dit betekent dat 5% tot 10% van alle
Nederlandse breedbandabonnees besmet is. Volgens de onderzoekers van de TU Delft is het
werkelijke aantal besmette machines waarschijnlijk veel groter dan hun schatting laat zien.
Nederland staat —in 2013— op de tiende plaats van landen die voor de meeste cybercrime
verantwoordelijk zijn. Met bijna evenveel cybercrime hubs als in Duitsland, Frankrijk en Italië
samen [Global Security Map].
Soms is hierbij helemaal geen kwaadwil in het geding. Een klassiek voorbeeld hiervan uit pre-internet tijdperk is
het Henny Huisman-effect. In 1988 organiseerde de SoundMixShow een televoting-actie die het hele PTT-
netwerk platlegde. Een recenter voorbeeld is het Slashdot-effect dat optreed als er op door Slashdot een link
naar een kleinere website wordt gepubliceerd die opeens door alle bezoekers wordt gevolgd.
Een Denial-of-Service aanval (DoS) maakt een website, internetdienst of server onbruikbaar voor
reguliere gebruikers. Het verschil tussen een gewone DoS-aanval en een Distributed DoS-aanval
(DDoS) is dat bij de laatste de aanval wordt uitgevoerd door meerdere computers tegelijkertijd.
Dat kunnen computers zijn van meerdere personen die hun acties onderling coördineren (zoals
cyberactivisten vaak doen), maar heel vaak wordt hiervoor gebruik gemaakt van een botnet van
gekaapte computers.
Het is uitermate lastig om een DDoS-aanval te voorkomen (een preventieve aanpak zou de inzet
van een enorme overcapaciteit vereisten). Systeembeheerders kunnen eigenlijk alleen maar
defensief reageren door het verkeer te beperken op het moment dat servers worden overbelast
[Computerworld, 10.4.13]. Een botnet kan alleen maar onschadelijk worden gemaakt als men
toegang weet te krijgen tot de command & control servers die het botnet aansturen.
Dit laatste gebeurde in 2010 met het Brederolab-botnet dat meer dan een jaar lang dagelijks 3,6 miljard e-mails
verstuurde (overwegend virale spam) vanuit minstens 30 miljoen geïnfecteerde computers. Elke maand werden
er 3 miljoen nieuwe computers aan de botnet toegevoegd. De Nationale Recherche wist deze botnet offline te
halen door 143 C&C-servers af te sluiten. Dit was echter alleen maar mogelijk omdat deze servers waren
ondergebracht bij een hosting provider in Nederland [OM. 25.10.10]. Aanvalsservers die in het buitenland
gelokaliseerd zijn kunnen meestal veel minder eenvoudig buiten werking worden gesteld zonder hulp van de
staat waar de dader zich bevindt of waarvanuit de cyberaanval is gelanceerd. In dergelijke gevallen zal middels
een rechtshulpverzoek aan die staat gevraagd moeten worden om bepaalde opsporingshandelingen te verrichten
of strafvervolging in te stellen.
Op dit moment is het volume van het verkeer dat in DDoS-aanvallen wordt gebruikt ongeveer 400 gigabits per
seconde. Maar dit volume neemt snel toe. Experts verwachten een toename tot 4 terrabits (1Tb = 1012 bits =
1000 Gb). De huidige beveiligingsoplossingen kunnen dit niet aan [Europol 2014: 86].
DNS is dus het telefoonboek voor het internet. Als iemand in staat zou zijn om de toegang tot het
telefoonboek te blokkeren, dan zou het internet daadwerkelijk niet meer kunnen functioneren.
Het Domain Name System heeft een boomstructuur. Het begint met 13 servers op het topniveau
en elk daarvan communiceert met het volgende lagere niveau, die het dan doorgeeft aan een nog
lager niveau, enzovoort. Wanneer er op het topniveau iets wordt veranderd, wordt dit automatisch
doorgegeven aan het hele netwerk. Daarom brengt de lokale kopie van het telefoonboek je altijd
precies naar de juiste plaats.
Het hele internet kan worden platgelegd als iemand het functioneren van alle dertien DNS-
topniveau servers zou kunnen verhinderen. Als deze servers niet meer kunnen communiceren met
de lagere echalons van het systeem, dan kunnen ook de lagere takken van de boom niet meer
functioneren.
De 13 topniveau servers van het DNS zijn gevestigd in verschillende landen, maken gebruik van
verschillende technologieën en zijn zwaar beveiligd. De zwakte van het DNS is tweeledig. Ten
eerste genereert een DNS-verzoek meer informatie dan het verzoek zelf. Ten tweede is het relatief
eenvoudig om het adres waarvanuit het verzoek wordt verstuurd te falsifiëren.
Hackers kunnen gebruik maken van deze twee kwetsbaarheden. Zij kunnen een heel leger van
zombiecomputers (bots) afsturen op het IP-adres van het doelwit. Middels een botnet worden
enorme hoeveelheden verzoeken aan het DNS gericht die daarop antwoord door een nog veel
grotere hoeveelheid data door te sturen naar het doelwit (een klein DNS query kan een veel
langere reactie opleveren). Maar hierdoor wordt niet alleen het specifieke doelwit uitgeschakeld.
Als er meerdere omvangrijke botnets worden gebruikt om meerdere doelwitten aan te vallen, dan
overspoelt het DNS zelf het netwerk dat zij zou moeten dienen [Woodward 2009].
Deze infrastructurele kwetsbaarheid van het internet is al langer bekend is. Maar een groot deel
van de DNS-servers is nog steeds niet op de juiste wijze geconfigureerd om een dergelijke DNS-
amplificatie aanval te voorkomen.
Er zijn nieuwe technologieën ontwikkeld die de DNS veiliger kunnen maken. Het meest bekende is
DNSSEC (Domain Name System Security Extension) dat ontworpen is om aanvallen zoals DNS-
spoofing te voorkomen. Maar zolang deze nieuwe systemen niet op brede schaal worden gebruikt,
zijn ze weinig hulpzaam. Uit een onderzoek uit 2012 bleek dat 40% van de federale instellingen in
de VS nog geen gebruik maakten van DNSSEC, ook al is dat het officiële overheidsbeleid. Technet,
23.4.13].
In de eerste plaats moeten de providers hun inkomende verkeer filteren, zodat er geen
pakketjes met valse afzender worden doorgestuurd. Dit is mogelijk met de techniek van
ingress filtering — zoals al dertien jaar geleden is beschreven door Paul Ferguson en Daniel
Senie [BCP38; BCP38.info].
De tweede maatregel is het uitschakelen van open recursieve naamservers. Volgens een van de
regels van de Best Current Practice [BCP140] kunnen de domeinnaamservers worden beveiligd
tegen DNS-amplificatie aanvallen.
In de derde plaats moeten providers zichzelf beter beschermen tegen directe DDoS-aanvallen.
Zolang de internetproviders deze maatregelen niet nemen, stellen zij hun klanten bloot aan
cyberaanvallen, en stellen zij hun eigen reputatie op het spel.
De meest recente DDoS-aanvallen gaan veel verder dan simpele bandbreedte-aanvallen (traffic
flood). Er zijn diverse DDoS-varianten: DNS-amplificatie aanval, SYN-flood aanval en de TCP ACK
aanval. Bij al dit soort protocol-aanvallen worden netwerkpakketjes naar een systeem gestuurd,
waarbij de verbinding niet tot stand komt. Het aantal halfopen verbindingen onttrekt steeds keer
servicekracht aan het systeem. Het systeem wordt vertraagd, functies vallen uit, en tenslotte gaat
het systeem zelf plat.
Synchronisatie-overstroming
Bij een SYN flood-aanval worden de bronnen van een server in beslag genomen door synchronisatieverzoeken
terwijl de server wacht op een antwoord dat niet komt.
Er wordt een groot aantal verbindingsaanvragen met een fout IP-adres naar een server gestuurd. Bij iedere
aanvraag reserveert de server een deel van het geheugen of een socket. Als de server een bericht terugstuurt met
de mededeling dat hij klaar is voor de verbinding, wordt dit bericht naar het verkeerde IP-adres gestuurd. De
server krijgt daarom geen bericht van ontvangst en blijft wachten op het antwoord. Alle gereserveerde bronnen
blijven in gebruik.
Als er grote aantallen van dit soort valse aanvragen na elkaar worden verzonden is de server niet meer bereikbaar
voor bonafide aanvragen en kan zelfs helemaal plat gaan.
Een tweede vorm van DDoS is application flooding. Daarbij wordt misbruik gemaakt van
kwetsbaarheden van applicaties zoals een web- of mailserver. De cyberceiminelen versturen
daarbij zeer grote hoeveelheden ‘http get-verzoeken’ of zetten massale halve SMTP-aanvagen op
touw. Op die manier nemen zij de beschikbare diensten in beslag en kunnen zij deze applicaties
uitschakelen.
Een eenvoudige methode is het manipuleren van de koeling door de ventilator. Computers
moeten worden gekoeld. Als dat niet gebeurt —omdat malware de ventilator uitschakelt of de
rotatiesnelheid verlaagd— raken computers oververhit.
Een andere methode is het verhogen van het voltage. Hierdoor kan zowel het geheugen als de
processor ernstig worden beschadigd.
Middels een Pseudo Format Attack worden continu alle sectoren van de harde schijf
volgeschreven. De harde schijf raakt hierdoor in een oneindige loop van schrijf- en
leesopdrachten en raakt daardoor overbelast.
Bij een Spindown Attack laat de aanvaller de harde schrijf om de minuut in spindown mode
gaan: de harde schijf schakelt zichzelf uit en dan weer aan.
Voor al deze cybotagetechnieken is een ruim aanbod van kwaadaardige software beschikbaar
[Kotler 2011]. Alles dat door software wordt gecontroleerd, kan door malware worden verstoord of
vernietigd.
Mobiele malware
“De groeiende populariteit van smartphones en tablets heeft de aandacht getrokken van cybercriminelen,
die ze als een fantastische gelegenheid zien om uw gegevens en geld in handen te krijgen, of om gewoon
schade aan te richten. Met dit doel zijn ze nu allerlei bedreigingen aan het ontwikkelen die ontworpen zijn
om op mobiele platforms te werken” [McAfee].
Medio 2012 werden Android smartphones geïnfecteerd met de virussen «Loozfon» en «FinFisher».
De spyware wordt geïnstalleerd zodra er op een specifieke link wordt geklikt. Slachtoffers worden
op verschillende manieren benaderd. In een variant werd betaald thuiswerk aangeboden waarbij
men alleen maar e-mails hoefde te versturen. Een link binnen deze advertentie leidde naar een
website die was geprepareerd om Loozfon op het mobieltje te zetten. Zodra Loofzon was
geïnstalleerd begon het alle contactgegevens die in het mobieltje zijn opgeslagen te stelen.
FinFisher (of FinSpy) is nog veel gevaarlijker. Na installatie kan de smartphone op afstand worden
bestuurd en gevolgd, waar de gebruiker zich ook bevindt. Op 15 october 2012 waarschuwde de
Amerikaanse FBI de Android-gebruikers voor deze spyware [IC3, 12.10.12].
Mobiele apparaten —smartphones en tablets— zijn notoir onveilig. Slechts vier procent van die
apparaten is voorzien van beveiligingssoftware. Alle mobiele apparaten kunnen worden
geïnfecteerd met schadelijke software [Wired, 25.10.12].
Slechts bij 4% van de smartphones en tablets die in 2010 werden verkocht is een of andere
vorm van mobiele beveiliging ingebouwd [onderzoek van Canalys, 4.10. 11].
Bij minder dan 1 van de 20 smartphones en tablets is beveiligingssoftware ingebouwd
[onderzoek van Juniper Research, 1.8.11].
In 2010 werden al 2.500 verschillende soorten mobiele malware geïdentificeerd en dat aantal is
sindsdien zeer sterk toegenomen [mobiThinking, 2.11.11; Symantec, jun 2011]. In 2013
werden 143.211 nieuwe modificaties van kwaadwaardige programma’s geregisteerd die op
mobiele apparaten zijn gericht [SecureList, 24.2.14].
Trojaanse paarden zijn erg populair voor Android-apparaten omdat iedereen een app kan plaatsen
op de Android-markt. Ze zijn erg effectief omdat zij geen technische kwetsbaarheden nodig
hebben om zichzelf te installeren. Trojaanse paarden zitten verpakt in spelletjes en andere
applicaties die we zelf op onze mobieltjes en tablets plaatsen. Mobiele malware verspreidt zich
veel sneller dan traditionele malware omdat de doelwitten altijd aan een netwerk zijn verbonden.
De meeste mobiele malware is ontworpen om geld te stelen van gebruikers. De sterke groei van
het zakelijk gebruik van tablets en smartphone heeft voor nog meer mobiele malware en nieuwe
veiligheidsrisico’s voor bedrijven gezorgd.
In 2014 werd het spelletje Tic Tac Toe (Boter Kaas en Eieren) op de mobiele Adroid markt gelanceerd. Kasparsky
Lab ontdekte dat de code voor het spelletje minder dan 30% van de bestandsomvang uitmaakt. De rest is
functionaliteit voor het bespioneren van de gebruiker en het stelen van persoonsgegevens. Het ingebouwde
Trojaanse paard verzamelt informatie over het apparaat en stuurt alle gegevens naar de commando-server van de
crimineel [Securelist, 10.10.14].
Het gratis aangeboden open source raamwerk AFE (Android Framework for Exploitation) is een modulair
programma dat cybercriminelen kunnen gebruiken om malware voor het Android-platform te maken die past bij
hun doelstelling. Deze worden vervolgens anoniem op de onbetrouwbare Adroid markt geplaatst.
AFE bevat alle modules die een cybercrimineel zich maar kan wensen: ontsluiten van logboek van gepleegde
telefoontjes, contactinformatie, inhoud van mailbox, versturen van SMS-jes, overzicht van surfgedrag op internet,
opnemen van telefoongesprekkken, opvangen van beelden gemaakt met camera van het apparaat, lanceren van
root exploits, op afstand bellen van elk betaalnummer vanaf het gekaapte apparaat. De malware-bouwdoos bevat
ook sjablonen aangeleverd om de mobiele malware te maskeren als legitieme applicaties, zoals File Explorer, Tic
Tac Toe en applicaties met grappen [InfoWorld, 3.8.12; YouTube, 3.5.13; Gupta 2013; Tweakers, 6.8.12].
Computersystemen en netwerken zijn slechts tot op bepaalde hoogte bestand tegen kwaadaardige
aanvallen van buitenaf. Hun weerbaarheid is afhankelijk van de beveiliging. De beveiliging moet
ervoor zorgen dat computersystemen weerbaar worden tegen externe verstoringen door
kwaadwillende individuen die op illegale wijze proberen in te breken.
via de fysieke ingang: toegang via deuren van gebouwen waarin computersystemen staan.
via de personele ingang: toegang via de mensen die met het computersysteem werken of
die deel uitmaken van een netwerk.
via de digitale ingang: toegang tot software programma’s via internet of intranet.
Via deze drie ingangen kunnen kwaadwillende buitenstaanders clandestien toegang verwerven tot
de informatiebronnen en communicatieprocessen. De weerbaarheid van computersystemen en
Het blijft een kat-en-muis spel: hardnekkige criminelen proberen zoeken en vinden telkens nieuwe
methoden waarmee passieve beschermingsmaatregelen worden ontweken, overwonnen,
ondergraven of doorbroken. Alle passieve verdedigingsmechanismen hebben tegenover
cybercriminelen al meerdere keren grondig gefaald. Ze slagen er telkens weer in de
beveiligingssystemen te verslaan.
gegevens op deze signatuur. Maar onbekende Daarom kan men beter kijken naar ongewone
gedragingen van vertrouwd netwerkverkeer.
virussen gaan volkomen ongemerkt aan de antivirus Op die manier kan men gedragingen
software voorbij. De diversiteit en het volume van detecteren die afwijken van de gebruikelijke
bewegingen die bij die bekende signatuur
kwaadaardige softwarecodes (malware) is horen.
fenomenaal. Dit ondermijnt de effectiviteit van
traditionele beveiligingen die gebruik maken van op signatuur gebaseerde technieken.
Het vervelendste is dat deze variatiemethode geautomatiseerd kan worden: een enkel virus
wordt op verschillende plaatsen op grote schaal gevarieerd. Zo ontstaan er vele duizenden
gemuteerde virussen die bij het binnendringen van de computer door geen enkele scan worden
onderkend. Conventionele virusscanner onderscheppen slechts 70% van de bekende virussen.
Toch is deze tamelijk eenvoudige methode al behoorlijk succesvol.
malwaremakers heeft zich inmiddels tot grote hoogte ontwikkeld. Hierdoor is niet alleen de
variatie van virussen, wormen, trojaanse paarden en botnets sterk toegenomen, maar ook hun
complexiteit en geraffineerdheid. Een standaardbeveiliging van computersystemen en
netwerken is allang niet meer voldoende.
Passieve verdediging is dus alleen maar effectief als de bedreiging al bekend is. De
detectiemechanismen moeten bovendien zeer nauwkeurig werken zodat er niet per ongeluk
bepaalde gegevens worden afgevangen die op virussen lijken (en dat is wat veel virussen doen).
Daarom kan een aanvaller met virussen die slechts licht gevarieerd zijn al door de
beveiligingsmaatregelen heen breken.
De criminele aanvaller is de verdediger dus altijd Veel crackers zijn zeer getalenteerd en moeilijk te
blokkeren, terwijl de beveiliging van bedrijfs- en
een stap voor. De tijd die nodig is om een virus
overheidsnetwerken ondermaats is. De meerderheid van
te ontdekken, haar signatuur te bepalen en op te de bedrijven hebben niet eens door dat hun systemen
zijn gecompromitteerd. Zij beseffen pas wat er gebeurd is
laten nemen in de protectielijsten van de
nadat buitenstaanders hen dat hebben verteld.
gebruikers is nog steeds veel langer dan de
Uit al het onderzoek blijkt telkens weer dat
malware zelf nodig heeft om zich te verspreiden. cybercriminelen technologisch geavanceerder zijn dan
Reactieve veiligheid is altijd te laat: voor een degenen die proberen hen te stoppen. Ondanks alle
investeringen in beveiligingstechnologie�n vinden
beveiligingsexpert die de bedrijfsveiligheid moet cybercriminelen telkens weer manieren om deze
waarborgen, is dat een ernstig probleem. beveiligingen te omzeilen om gevoelige informatie te
stelen die zij kunnen monetariseren [Washington Times,
Passieve verdediging is slechts zo sterk is als 28.2.14].
haar zwakste schakel. Een cracker hoeft alleen
maar één exploiteerbare zwakte te vinden om toegang te krijgen tot het systeem. De ‘bad guys’
kunnen overal aanvallen waar zij willen, de ‘good guys’ moeten overal verdedigen.
Een proactieve verdediging stuit op andere problemen. Een proactieve verdediging probeert een
cyberdelict te blokkeren voordat dit
Een van de meest beproefde proactieve
slachtoffers eist. Onderdeel daarvan kan zijn
beveiligingmaatregel is het monitoren van alle het monitoren van chatrooms en webfora om
individuen die seksueel misbruik willen maken
datastromen binnen het eigen computersysteem en
van kinderen op te sporen
tussen dit systeem en externe systemen. In de [Penna/Clark/Mohay 2005].
dataleidingen van het eigen netwerk kunnen
meetapparaten (sensoren) worden aangebracht die op opvallende patronen in de doorstromende
data detecteren (intrusion detection). De systeembeheerder kan deze software zelf configureren
en bijvoorbeeld zelf definiëren wat ‘abnormaal’ is [Denning 1987; Scarfone/Mell 2007].
Terwijl een firewall alleen maar pakketjes blokkeert of toelaat is een Intrustion Detection System
(IDS) in staat een aanval waar te nemen. Een IDS fungeert dus eigenlijk als een alarmsysteem.
Maar bij zeer grote hoeveelheden data moet altijd rekening worden gehouden met een normale
basisruis omdat er anders te vaak vals alarm gegeven wordt [Anderson 2001:387-388; Mattord
2008:290�301]. Voor een cybercrimineel is dit meestal voldoende om zijn aanvallen door de
sensoren te krijgen.
Bovendien wordt de malware niet in een keer naar binnen gesluisd, maar in onderdelen die dan op
een specifieke plaats in elkaar worden gezet en vervolgens voor kwaadaardige acties kunnen
worden ingezet. De sensoren van het beveiligingsysteem definiëren elke afzonderlijke component
van de malware als onschadelijk/ongevaarlijk. Als alle onderdelen van de malware op de bestemde
plek zijn aangekomen, kan het daar zichzelf samenstellen en beginnen met het criminele werk.
De meest geavanceerde criminele malware begint haar werk in een toestand van ‘infinite sleep’
Vanuit deze slaaptoestand worden eerst een paar controles uitgevoerd voordat de malware zichzelf
lanceert. Er wordt vooral gecontroleerd of de lokale harde schijf geen virtuele machine is die als
honeypot is opgezet om malware te vangen. Als blijkt dat het valstrik is dan blijft de malware
inactief. Soms is de code van de malware in staat om zichzelf te zodanig te modificeren dat het
wel in staat is om de beveiligingsmechanismen te misleiden.
Een intrustie preventiesysteem (IPS) is in staat een aanval te detecteren en vervolgens actie te ondernemen, door
bijvoorbeeld al het verkeer van de aanvaller te blokkeren en het overige verkeer door te laten.
Een nadeel van IDS/IPS-systemen is dat er vaak te veel false positives zijn. Daarbij wordt ten onrechte alarm
geslagen voor iets dat als een aanval of malware wordt aangezien. Dit kan bijvoorbeeld een e-mail zijn die is
tegengehouden omdat het beveiligingssysteem het als een spam mail identificeert, terwijl het een legitieme e-mail
was. Voor een effectieve proactieve verdediging is het dus van belang om de IDS/IPS-systemen goed te
programmeren zodat het aantal valse alarms zo laag mogelijk te houden.
Er zijn diverse manieren waarop een intrusie detectie- of preventiesysteem (IDS/IPS) kan worden misleid. De
aanval zelf kan zodanig worden gemanipuleerd dat het verschillende informatie geeft aan het IDS/IPS-systeem
van het aangevallen computernetwerk. Het is onmogelijk om alle intrusies en anomalie�n te identificeren [Singh
2010].
Computer immuunsysteem
Er zijn nieuwe instrumenten in omloop voor een proactieve verdediging: adaptive response tools. Daarbij wordt
detectiesoftware gekoppeld aan geautomatiseerde reacties waardoor het netwerk ‘zichzelf’ verdedigt tegen
aanvallen. Met gebruik van de principes van kunstmatige intelligentie wordt lenige software ontwikkeld die snel
nieuwe bedreigingen kan identificeren en dienovereenkomstig kan reageren. Hierdoor kan snel en flexibel worden
gereageerd op zowel op interne als externe bedreigingen. De programma’s bevatten een lijst van reacties op
aanvalsvarianten die op basis van nieuwe ervaringen telkens wordt gewijzigd. De detectie/responsie software
verspreidt zichzelf in alle knooppunten van het eigen systeem. Daarom blijft het de computers beschermen ook als
er een lokale server uitvalt.
Actieve verdediging
Bij een louter passieve beveiliging staat een zwakke verdediger tegenover een oppermachtige
aanvaller. Bij een actieve of dynamische beveiliging wordt elke potentiële en actuele aanval in de
kiem gesmoord en worden verdere aanvallen onmogelijk (of moeilijker) gemaakt door de vijandige
aanvalsposities en -lijnen uit te schakelen of te degraderen. Er zijn vier actieve vormen van
beveiliging:
a. Preëmptieve aanval
Bij een preëmptieve aanval probeert men om in een dreigende en onvermijdelijke geachte
confrontatie een strategisch voordeel te behalen voordat die dreiging werkelijkheid wordt. Een
preëmptieve aanval op infrastructuur van het vijandige informatiesysteem verhindert dat deze
wordt gebruikt om effectieve aanvallen te lanceren.
Een preventieve oorlog is een daad van agressie (volgens artikel 2, sectie 4 van het Handvest van de Verenigde
Naties breekt zij de vrede omdat ze de soevereiniteit van een staat aantast). Een preëmptieve aanval is een
vorm van legitieme zelfverdediging. Volgens het internationale recht moet zo’n zelfverdediging voldoen aan een
aantal strikte voorwaarden, zoals het beginsel van proportionaliteit (evenredigheid) en van distinctie
(onderscheid tussen militaire en civiele doelwitten) [O’Connel 2012].
Een preëmptieve aanval is per definitie een vijandige handeling. Daarom zullen de bevoegde
autoriteiten zo’n aanval alleen maar goedkeuren wanneer ze een redelijke garantie hebben dat
de effecten van de aanval beperkt kunnen blijven tot het vijandige netwerk. Maar dit
veronderstelt (i) dat de offensieve vijandige krachten en/of hun ondersteuningsstructuren
gelokaliseerd kunnen worden en (ii) dat zij gedegradeerd of vernietigd kunnen worden voordat
ze effectief gebruikt kunnen worden.
Het netwerk dat de bron van een aanval lijkt te zijn zou in werkelijkheid wel eens slechts een
tussenschakel kunnen zijn die door de aanvaller wordt gebruikt om de ware oorsprong te
verhullen. De aanvaller kan zijn cyberactie ondernemen vanuit een neutraal of zelfs vriendelijk
netwerk dat hij al gecompromitteerd heeft. Competente hackers beschikken over een
uitgebreid instrumentarium waarmee zij bewijzen van hun activiteiten (digitale sporen) kunnen
wissen (zoals utclean.c en tlnthide.c).
voor acties die Amerikaanse belangen schaden. Het enige dat nog afgerond moest worden zijn wijzigingen in de
rules of engagement waarin wordt vastgelegd in welke gevallen er direct gereageerd mag worden op
belangrijke bedreigingen.
b. Tegenaanval
Een tegenaanval is een tactiek die gebruikt wordt in reactie op een aanval. De tegenaanval
richt zich tegen het informatiesysteem van de cybercrimineel tijdens of direct na de originele
aanval. Het doel is om het voordeel dat door de crimineel wordt behaald tijdens een aanval
teniet te doen of te blokkeren. Een tegenaanval is effectief als deze vroeg genoeg begint om
alle voorbereidende activiteiten onschadelijk te maken voordat de aanval is voltooid.
Een tegenaanval in cyberspace bestaat uit vijf stadia: (i) een effectieve detectie van vijandige
acties waarbij een onderscheid gemaakt wordt tussen gradaties van intrusies: van triviale
sondes tot aan substantiële aanvallen; (ii) het identificeren van de bron van inkomende sondes,
malware, exploits etc.: weten wie de vijand is en waar deze zich bevindt; (iii) het bepalen van
vijandige intenties; (iv) het ontwerpen en in werking zetten van directe en indirecte
tegenmaatregelen die proportioneel zijn aan de intensiteit van de aanval; en (v) de evaluatie
van de effectiviteit van de tegenaanval.
De bron en kenmerken van een vijandige cyberaanval worden meestal pas duidelijk op het
moment dat deze feitelijk wordt uitgevoerd. Net als bij preëmptieve aanvallen moet ook hier de
bron van de aanval worden gelokaliseerd en gescand op kwetsbaarheden. Al deze taken
moeten zijn voltooid voordat de aanvaller zijn aanval beëindigd heeft en zijn netwerk en
cyberwapens van het internet heeft verwijderd.
Een tegenaanval vereist in de eerste plaats dat de originele aanval snel kan worden
teruggevoerd tot de bron. We zullen nog zien hoe lastig dit is. Er zijn geen internationale
overeenkomsten die het mogelijk maken om cyberaanvallers in andere landen op te sporen.
Maar zelfs als de bron van een vijandige aanval betrouwbaar is gelokaliseerd, is de tijd die
beschikbaar is voor een tegenaanval ongemeen kort. De aanvaller weet precies hoeveel tijd hij
nodig heeft voor zijn aanval en verdwijnt daarna zo spoedig mogelijk van het cybertoneel.
geknoeid wordt. Hierdoor verandert de gastcomputer in een soort ‘menselijk schild’ (gijzelaar) om
tegenaanvallen af te schrikken [Hoskins/Liu/Relkuntwar 2005].
Juridische kwesties
Tegenaanvallen in het digitale domein verkeren per definitie in een juridisch grijs gebied. Wanneer een bedrijf
of overheid een tegenaanval lanceert, kunnen zij dezelfde strafwetten overtreden als de aanvaller en kunnen
zij aansprakelijk worden gesteld voor schade als gevolg van de tegenaanval. Een tegenaanval kan alleen als
zelfverdediging worden gerechtvaardigd wanneer de gebruikte methode proportioneel is aan de initiële aanval,
en er geen andere redelijke alternatieven waren [Karnow 2005].
c. Misleiding
In de bestrijding van cybercrime speelt misleiding een belangrijke rol. Men kan proberen om
cybercriminelen met beveiligingsmaatregelen buiten het eigen netwerk te houden. Maar men
kan ze ook op het verkeerde been zetten en ze doorsturen naar een loknetwerk (honeypot) dat
onderdeel lijkt te zijn van een netwerk, maar dat daarvan feitelijk is ge�soleerd en permanent
wordt gemonitord. Het is een valstrik die bedoeld is om pogingen tot ongeautoriseerde gebruik
van informatiesystemen af te leiden.
Criminelen misleiden
Criminelen inspecteren internetlocaties (zoals websites) en servers om hun structuur, functies en
kwetsbaarheden te achterhalen. Daarbij wordt gebruikt gemaakt van instrumenten die dit verkennend
onderzoek automatiseren.
Er zijn diverse technieken waarmee criminelen kunnen worden misleid en waarmee hun automatische
instrumenten onschadelijk worden gemaakt. Een verkenner (spider) kan bijvoorbeeld worden gevangen in een
teerput door het maken van neplinks die nergens toe leiden. De server controleert welke informatie een
crimineel ontvangt: die informatie hoeft niet waarheidsgetrouw of onschuldig te zijn. Met dergelijke
tegenmaatregelen loopt de crimineel het risico al getraceerd te worden voordat er een aanval kan worden
gelanceerd.
Een honeypot is een loknetwerk of lokcomputer waarin bewust kwetsbaarheden zijn ingebouwd om inbraken
in het systeem te observeren. Het doel van een honeypot is dus om aanvallen te detecteren en daarvan te
leren om de beveiliging te verbeteren. De zwakke beveiliging zorgt ervoor dat de honeypot een aantrekkelijk
doel wordt voor criminelen. Omdat het lokaas voorzien is van uitgebreide logging, kunnen IP-adressen,
hacktechnieken en werkstijlen van de cybercriminelen worden achterhaald. Een netwerkbeheerder krijgt
hierdoor first hand informatie over actuele bedreigingen van zijn netwerk [Spitzner 2002]. Een honeypot kan
gebruikt worden om de gegevens van de cybercrimineel zelf te achterhalen (zoals IP-adres) en op te sporen.
De gegevens die door een honeypot zijn verzameld kunnen als bewijs dienen.
Een honeypot is de digitale variant van een lokauto die door de politie is geprepareerd en schijnbaar
onbewaakt wordt neergezet op een plek waar autodieven vaak hun slag slaan. Als de lokauto wordt gestolen
kunnen de observerende agenten van afstand de deuren en ramen vergrendelen en de motor uitschakelen. Zo
worden autodieven op heterdaad betrapt.
Een aantal beheerders van botnets hebben een interface ontwikkeld die lijkt op de admin console van het
botnet. Normaliter geeft deze admin console informatie over de frequentie van de aanvallen, het aantal
infecties en kan er nieuw malware mee in het botnet worden geladen.
Om digitale rechercheurs meer kans te geven om in de nepinterface te komen wordt deze bewust kwetsbaar
gemaakt voor bijvoorbeeld een simpele SQL-injectie. Het inlogsysteem van het ‘admin panel’ vraagt er bijna
om gehackt te worden. Het accepteert standaard wachtwoorden en wachtwoorden die gemakkelijk geraden
kunnen worden. Digitale rechercheurs die deze gefingeerde admin console onderzoeken om meer te weten te
komen over het botnet en de beheerders, krijgen nepinformatie en worden zo zelf om de tuin geleid
[Darkreading, 3.11.10; Webwereld, 8.11.10].
De verwachting is dat dergelijke anti-forensische praktijken door cybercriminelen steeds meer gebruikt zullen
worden om hun opsporing te bemoeilijken en rivalen van zich af te schudden. Cybercriminelen stellen alles in
het werk om hun botnets te beschermen. Zij gebruiken monitoring scripts die kunnen detecteren of zij door
rechercheurs in de gaten worden gehouden. Wanneer dit het geval is wordt het hele botnet automatisch
ge�nstrueerd om ze met DDos-aanvallen te overspoelen. Hierdoor wordt de analyse van kwaadaardige
botnets voorkomen en politi�le opsporing geblokkeerd.
Voor het identificeren van kinderpornografen en pedofielen wordt meestal gebruik gemaakt van
twee soorten misleidingsmethodieken. De eerste is het opzetten van websites die
kinderpornografisch materiaal lijken te bevatten, maar die zijn ontworpen om makers en
verzamelaars van kinderporno te identificeren. De tweede methodiek is het surveilleren op
chatrooms waarbij politieagenten zich uitgeven voor kinderen om personen te identificeren die
proberen offline kinderen te ontmoeten.
Sommige pedofielen behoren tot de beste hackers ter wereld. Zij zijn in staat om de harddisk
van iemand online te controleren om te achterhalen of iemand waarmee zij spreken werkelijke
degeen is die hij zegt te zijn. Als een rechercheur zich online voordoet als een 9-jarig meisje,
dan moet hij ervoor zorgen dat alles wat op de harddisk staat daarmee correspondeert (bijv.
bepaalde soorten muziekbestanden, e-mails van en naar vrienden en vriendinnen over
problemen op school en thuis).
Eventueel: automatisering noodzakelijk want undercover online kost zeer veel tijd. Dit bijv. in
de vorm van automatische discours analyse: cognitieve modeltechnieken voor het detecteren
van pedofiele verhalen; en beeldtechnieken om kinderporno op te sporen. Automatische
beeldanalyse wordt lastig als er gebruik gemaakt wordt van steganografie (waarmee het
bestaan van het beeld verborgen wordt in een willekeurig ander beeld) .
d. Afschrikking
De vierde vorm van actieve beveiliging is de strategie van afschrikking. Door een solide
cyberwapening op te bouwen probeert men potentiële en actuele vijandige staten ervan te
weerhouden om een cyberaanval te lanceren. Als vijandige staten ervan overtuigd zijn dat de
vergelding middels een second strike henzelf meer schade zal berokkenen dan de winst die met
een cyberaanval behaald kan worden, dan zullen zij deze aanval niet inzetten.
Wanneer men als verdediger zelf sterk bewapend is, moet een aanvaller rekening houden met
aanzienlijke verliezen. Als het te verwachten tegenoffensief van een verdediger voldoende
groot is, dan is het voor een aanvaller niet meer rendabel om aan te vallen. Een verdediger kan
dus met offensieve tegenmaatregelen het gedrag van aanvallers sturen en zich op die manier
actief tegen aanvallen beschermen.
Maar hoe doe je dat in het digitale domein? Afschrikken doe je met internationale
rechtsafspraken en met forensisch onderzoek naar digitale sporen. Op die manier wordt de
aanvaller identificeerbaar gemaakt en kan gerichte vergelding plaats vinden.
In cyberspace kunnen vaardige cybewcriminelen dus nooit met voldoende zekerheid worden
geïdentificeerd. Afschrikking is alleen maar effectief wanneer een directe vergelding mogelijk
is. Vergelding met een second strike veronderstelt echter dat men precies weet wie er
verantwoordelijk is voor de first strike. Wanneer het onmogelijk is om de cybercrimineel te
identificeren, ondergraaft dit de afschrikkende werking van een superieure aanvalscapaciteiten.
Op dit attributieprobleem zullen we nog regelmatig terugkomen.
We hebben gezien wat de mogelijkheden en beperkingen zijn van zowel actieve als passieve
beveiligingsmaatregelen en verdedigingsstrategieën. Elk afzonderlijk zijn deze maatregelen en
strategieën niet effectief tegenover professionele en hooggeorganiseerde aanvallen van een
militaire cybereenheid. Maar als actieve en passieve verdedigingsmaatregelen synergetisch
samenwerken kunnen zij elkaar versterken.
Cybercriminelen
Kennis van hacking technieken en vaardigheden om deze toe te passen behoren tot de
basiskwalificatie van elke cybermilitair. Daartoe behoren in ieder geval:
De sleutel voor de opbouw van zo’n criminele bende is niet het rekruteren van amateurhackers
of digitale vandalen, maar het inhuren van professionele hackers.
“Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast en een blind
vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn
papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen
van bijvoorbeeld de ontwikkelaars. Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven
ingehuurd door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van databanken
met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet nagedacht over mogelijk misbruik van
nieuwe systemen” [Brandbrief].
Hackers die dergelijke fouten ontdekken, durven dat vaak niet te melden omdat zij de kans lopen zelf in de
beklaagdenbank te belanden. De hackers wijzen erop dat er “momenteel een klimaat heerst waarin de
boodschapper wordt gestraft.”
Sommige instellingen beschouwen het testen van systeemveiligheid en de (ontbrekende) bescherming van
persoonsgegevens als iets dat strafbaar is of zou moeten zijn. Maar steeds meer parlementsleden zijn er
inmiddels van overtuigd dat hackers dezelfde bescherming verdienen als klokkenluiders (mensen die
ongeautoriseerd geclassificeerde informatie lekken).
Voor een succesvolle cybercrime moet men een nauwkeurig beeld (footprinting) hebben van de
doelwitten die moeten worden bestolen. Daarom maken cybercriminelen gebruik van spyware
om heimelijk informatie in te winnen over hun potentiële slachtoffers.
subeenheden.
De doelen van cybercriminele operaties zijn meestal niet eenvoudig of enkelvoudig. Er wordt
gewerkt met samengestelde doelen die niet met één stap of in één keer gerealiseerd kunnen
worden. Cybercriminele operaties bestaan vaak uit een complexe hoeveelheid stappen die in
een bepaalde volgorde en volgens een bepaald tijdsschema moeten worden gepland en
georganiseerd.
Dit vereist een strategische manier van denken om zo’n cybercrime te realiseren. Leiders van
cybercriminele bendes moeten in staat zijn om op behendige wijze minstens vijf activiteiten te
combineren:
afbakenen van de afzonderlijke clusters van activiteiten (stappen, etappes) waarin een
criminele operatie wordt uitgevoerd;
bepalen van de volgorde waarin die stappen worden uitgevoerd;
vaststellen van tijdschema volgens welke deze stappen moeten worden uitgevoerd om de
operaties temporeel met elkaar te coördineren;
rekening houden met de interactie-effecten tussen de afzonderlijke stappen en fasen van de
gehele operatie;
flexibel reageren op wijzigingen in het strategisch-tactische veld: slachtoffers en
rechtshandhavers zitten ook niet stil. Met hun reacties en tegenmaatregelen modificeren zij
de structuur en dynamiek van het strijdperk.
Dit zijn geen activiteiten die men aan technisch specialisten of programmeurs kan overlaten,
omdat ze een strategisch-tactische of militaire wijze van denken vereisen, waarin strategie,
tactiek en operationele actie systematisch met elkaar verbonden worden. Om ingewikkelde en
uiteenlopende wapensystemen op de juiste wijze in te zetten en te combineren zijn goed
geschoolde militairen nodig. Militairen die vertrouwd zijn met de praktijk van strategische,
tactische en operationele valkuilen en dilemma’s. Militairen die niet alleen rekening houden met
alle eigenaardigheden van het cybermilitaire front, maar ook met de conflictueueze afstemming
op politiek gedefinieerde opties, straf- en staatsrechtelijke condities en volkenrechtelijke
beperkingen. Net als bij alle andere militaire strijddomeinen zijn de risico’s op het cyberdomein
zeer groot. Ook bij cybermilitaire operaties gaat het uiteindelijk altijd om mensenlevens. Bij
confrontaties in cyberspace is het nog veel lastiger om bij de eigen operaties een duidelijk
Risico-analyse
De traditionele manier om een veiligheidsrisico te bepalen bestaat uit drie elementen: actor, intentie en
capaciteiten. In de virtuele wereld zijn deze elementen uitermate lastig te bepalen.
Ten eerste is er meestal geen duidelijk identificeerbare actor die als mogelijke vijand kan worden aangemerkt.
Cyberaanvallers kunnen buitenlandse overheidsinstellingen zijn (veiligheidsdiensten, strijdkrachten), maar ook
verveelde teenagers die zich vermaken met joyriding op het internet, hackers die op eigen gezag testen hoe
sterk de beveiliging van ICT-systemen is, criminelen die op zoek zijn naar buit, terroristen die met een
spectaculaire cyberaanslag paniek willen zaaien, ondernemers die proberen bedrijfsgeheimen van hun
concurrenten te stelen, of ontevreden insiders die hun gram willen halen bij de organisatie waar zij zojuist
ontslagen zijn.
Ten tweede is het moeilijk om betrouwbare informatie te krijgen over de vijandige intenties van de
(mogelijke) aanvaller. Wat beoogt een aanvaller? Wordt er een heel land aangevallen of wordt alleen de
robuustheid van computersystemen en netwerken getest? Wordt er aangevallen om economisch voordeel te
behalen, of slechts om geld te roven? Is het een eenmalige actie, of is de aanval het begin van een
omvangrijke cybercampagne?
Ten derde is het lastig om vast te stellen of de mogelijke vijand beschikt over de capaciteiten om een
grootsschalige cyberaanval te plegen op een hele natie. Over hoeveel manschappen, tanks en raketten een
vijand beschikt, laat zich nog relatief eenvoudig tellen. Cyberwapens zijn veel lastiger te identificeren en te
kwantificeren. We weten wel dat alle natiestaten beschikken over hoogwaardige informatie- en
communicatietechnologieën en dat de instrumenten voor cyberaanvallen gemakkelijk verkregen —en
verborgen— kunnen worden.
De logica van cybercriminaliteit brengt dus veel meer onzekerheden met zich mee dan bij conventionele
misdaad. Het maken van een goed risico-analyse is daarom ook veel lastiger.
De zwakste schakel
Beveiligingsprogramma’s kunnen nog zo geavanceerd zijn en alle penetratietests hebben
doorstaan, toch is de veiligheid van de communicatie binnen een organisatie nooit sterker dan
haar zwakste schakel. Meestal is dit een personeelslid dat slordig met wachtwoorden omgaat,
veiligheidsprocedures niet in acht neemt, of zich gemakkelijk laat verleiden of omkopen om
geheime of vitale informatie prijs te geven.
Niet hackers, maar nalatige werknemers zijn verantwoordelijk voor de meeste datalekken bij bedrijven. Dit
was de conclusie van een onderzoek van het Ponemon Istitute (febr. 2013) onder meer dan 3.500 ict-ers in
acht landen.
Typen datalekken
Nalatige werknemer of aannemer 47%
Systeemfouten en ander hardwarematige storingen 32%
Externe aanvallen 24%
Fouten of nalatigheid van derden 23%
Kwaadwillend personeel 14%
Bij de niet kwaadaardige datalekken gaat het meestal om datadragers die niet goed gewist zijn, of om
Social engineering is de kunst om mensen iets te laten doen wat jij wilt, zonder dat ze het zelf
door hebben. Het doel is om vertrouwelijke of geheime informatie van mensen los te krijgen
waardoor de cybercrimineel dichter bij zijn doelwit kan komen. Er wordt dus geen directe
aanval op de techniek zelf (de computers, software en netwerken) uitgevoerd. Het is een
indirecte methode waarbij via het één (de te misleiden persoon) iets anders bereikt (toegang
tot een computersysteem of netwerk). De cybercriminelen gaan niet direct af op de
kwetsbaarheden van de firewall, maar op de menselijke kwetsbaarheden van individuen.
Een van de eenvoudigste trucs van een cybercrimineel is impersonatie: het zich voor iemand anders uitgeven
dan wie men is. Met die gespeelde rol bouwt de crimineel vertrouwen op met het doelwit. Als het personage
goed is geconstrueerd — toegespitst op ambities, gevoeligheden, ijdelheden, zwakheden etc. van het doelwit
— dan is het meestal niet moeilijk om vertrouwen te winnen.
Via virtuele sociale netwerken kunnen vertrouwensrelaties worden gecreëerd en gemanipuleerd. @@@
UITWERKEN
Het is een eenvoudige en effectieve techniek. De aanvaller doet zich voor als
systeembeheerder, een bekende collega, een gezaghebbende leidinggevende of een goede
klant. Uit onderzoek blijkt dat zeer veel personeelsleden hun wachtwoord geven aan iemand
die zich voordoet als een medewerker van de it-afdeling. Via de aangenomen
vertrouwenwekkende rol van insider probeert de aanvaller informatie te verkrijgen van zijn
slachtoffer die op een andere manier niet of met aanzienlijk meer inspanning of hogere
kosten te krijgen is.
b. Lokmails - Phishing
Om gevoelige informatie te verwerven versturen De kunst van het misleiden
Een simpele maar vaak doeltreffende methode
cybercriminelen e-mails met een tekst die de
is om een personeelslid te vragen om een
belangstelling of nieuwsgierigheid van het zogenaamd naar de verkeerde afdeling
verzonden geheim document door te sturen
slachtoffer wekt en die afkomstig lijkt te zijn van
naar een andere afdeling. De lokmail is zo
een betrouwbare bron. Er wordt grootschalig ingericht dat de crimineel het document
gehengeld naar vertrouwelijke informatie die ontvangt. In het boek van Kevin Mitnick, De
kunst van het misleiden worden tal van
criminelen kunnen gebruiken om hun slag te slaan. dergelijke trucs beschreven.
Deze hengeltechniek wordt phishing genoemd.
Potentiële slachtoffers worden met een lokmail verleid om op een authentiek ogende site
vertrouwelijke gegevens zoals wachtwoorden, pincodes en creditcardnummers op te geven.
Een vertrouwenwekkend, prikkelend of bangmakend lokmailtje moedigt gebruikers aan om
iets te doen waardoor ongemerkt een remote access tool (RAT) op hun computer wordt
geïnstalleerd. Daarmee kan de aanvaller de besmette computer controleren en voor eigen
doeleinden gebruiken, zoals het versturen van spam of het stelen van geheime informatie.
Afvalsnuffelaars
Civielrechtelijk gezien wordt meestal aangenomen dat deze vorm van afvalinzameling toegestaan is: de
eigenaren hebben immers afstand van gedaan van de zaken in de vuilnisbak. In Italië is het snuffelen in
afval sinds 2000 legaal. Sommige juristenn stellen echter dat de zaken die bij het vuilnis zijn gezet nog
steeds het eigendom van de oorspronkelijke eigenaar zijn, tot en met het ophalen van het vuilnis. Daarna
wordt het afvalverwerkingsbedrijf houder voor de eigenaar, met de opdracht voor hergebruik of
vernietiging zorg te dragen. Dit geldt in het bijzonder voor vuilniscontainers die zich op prié-terrein
bevinden, waarvan het betreden door derden niet is toegestaan.
Bestuursrechtelijk kan dumpster diving of skipping door de (lokale) overheid verboden worden. In veel
Nederlandse gemeenten is dit het geval (zie bijvoorbeeld de Afvalstoffenverordening van de gemeente
Haarlemmermeer van 2006 — art. 36.1). Tenzij men over een speciale vergunning (Morgenstervergunning)
beschikt. Zo’n bepaling is opgenomen in de model-APV van de Vereniging van Nederlandse Gemeenten
(VNG).
Titel XXV: Bedrog - Art. 326c: Listiglijk gebruik maken van telecommunicatiedienst
“Hij die, met het oogmerk daarvoor niet volledig te betalen, door een technische ingreep of met behulp
van valse signalen, gebruik maakt van een dienst die via telecommunicatie aan het publiek wordt
aangeboden, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde
categorie” [Wetboek van Strafrecht].
Bij hengelpraktijken worden vaak bekende merken (Apple, PayPal, Amazon, e-Bay) ge�miteerd
om de ontvangers van de lokmail te verleiden om een actie te ondernemen.
Om de Apple account gegevens te verifi�ren moet er op een link worden geklikt. Als je op die link klikt wordt
je doorgestuurd naar een internetadres waarvan de url niet begint met Apple.com. Op die manier proberen
cybercriminelen persoonsgegevens waaronder creditcardgegevens van argeloze Apple-klanten te stelen.
Het slachtoffer ontvangt op de mobiele telefoon een SMS/MMS of een ingesproken bericht met de mededeling
dat er iets met zijn/haar bankrekening aan de hand is. Om dit probleem te op te lossen wordt het slachtoffer
gevraagd een telefoonnummer te bellen of in te loggen op een website. Vervolgens wordt gevraagd om wat
informatie te geven om de identiteit te controleren: bankrekeningnummer, PIN, creditcard nummer etc.
Gewapend met deze informatie kunnen de cybercriminelen de bankrekening van hun slachtoffers leeg halen of
aankopen doen met hun creditcards. Soms wordt ook de mobiele telefoon van het slachtoffer besmet met
kwaadaardige software die de criminelen volledige toegang tot de telefoon biedt. Door de toename van mobiel
bankieren en online financi�le transacties worden smishing en vishing steeds attractiever en lucratiever voor
cybercriminelen.
De cybercriminelen maken gebruik van een automatisch belsysteem om mensen in een bepaalde regio of
postcodegebied berichten te sturen. Soms gebruiken zij gestolen telefoonnummers van klanten van banken of
kredietinstellingen.
Geavanceerd hengelen
De basistechniek van hengelen is telkens dezelfde: er wordt gehengeld naar gevoelige informatie met lokmails
die van een betrouwbare bron lijken te komen waarbij de bijlage met malware is besmet of met links naar
websites die met malware zijn ge�nfecteerd.
Bij geavanceerde hengelpraktijken wordt na opening van de bijlage of bezoek van de criminele website een
proces in werking gezet dat door beveiligingssoftware nauwelijks geblokkeerd kan worden. De malware voert
eerst een paar controles uit voordat het zichzelf lanceert. De malware begint in een status van ‘infinite sleep’.
Op dit manier wordt gecontroleerd of de lokale schijf een virtuele machine is. Dit kan er op wijzen dat het in
een zandbak, teerput of honeypot is beland. Als dit het geval is, zal de malware inactief blijven. Bovendien is
de code in staat om zichzelf modificeren. De malware ontcijfert haar eigen code in real time en overschrijft
instructies om statische analyse door beveiligingssoftware af te weren. Als al deze en andere controles zijn
uitgevoerd, wordt de malware wakker en pakt zichzelf uit via meerdere lagen van encryptie en compressie.
Zodra de kwaadaardige code begint te draaien infecteert het zichzelf diep in een van de besturingsbestanden.
Vervolgens wordt er automatisch nog andere malware gedownload [McAfee 2014:10].
Voor criminelen is het veel gemakkelijker om informatie te vergaren over hun doelwitten: waar
werken zij, wat zijn hun interesses en hobbies, wat zijn hun vrienden, welke mensen,
organisaties of websites vertrouwen zij? Via digitale media en vooral de sociale digitale media,
kan deze informatie zeer snel en zonder dat het doelwit het merkt, worden verzameld.
code-injectie plaats vindt). Slechts één verkeerde klik is nodig om een virus, worm of Trojaans
paard te downloaden of andere malware waardoor achterdeurtjes worden geopend die door
indringers worden gebruikt om verder in het doelnetwerk binnen te dringen en gevoelige
informatie te stelen. Aanvallen van speervissers kunnen maanden duren zonder dat de
doelwitten enig idee hebben wat er aan de hand is. Als de aanval uiteindelijk toch worden
ontdekt, dan is het erg moeilijk om vast te stellen wat de omvang is van de schade.
Snoepgoed en relatiegeschenken
Cybercriminelen gebruiken in principe alle middelen om informatie los te krijgen van hun doelwitten of om hen
te verleiden handelingen te verrichten die de geheimen van hun organisatie in gevaar brengen. Inspelend op
de nieuwsgierigheid van mensen wordt bijvoorbeeld een besmette usb-stick, laptop of tablet achtergelaten op
een plaats die door het doelwit gemakkelijk gevonden zal worden. Uiteindelijk wordt zo’n apparaat vaak
verbonden met het informatiesysteem waarin de crimineel wil inbreken. De usb-stick, laptop of tablet zijn
snoepgoed dat men bewust in de nabijheid van een kind laat slingeren. Hackers noemen het daarom een
candy drop.
Het is gebruikelijk dat zakenmensen die beurzen bezoeken relatiegeschenken krijgen aangeboden. Vaak zijn
dat usb-sticks. Cyberspionnen maken van deze gewoonte gebruik om besmette usb-sticks uit te delen
waarmee zij toegang te krijgen tot bedrijfsgeheimen. In een uitgelekt rapport van de Britse geheime dienst
MI5 wordt geschetst hoe Chinese inlichtingendiensten door het uitdelen van usb-sticks of digitale camera’s
Trojaanse paarden verspreiden die hen toegang gaven tot de computer van de gebruiker [Sunday Times,
31.1.10; Trouw, 31.1.10].
Doelgerichte aanvallen zijn moeilijk om af te slaan en kunnen grote schade aanrichten. Het
volume van de speervisaanval is klein omdat deze gericht is op specifieke personen of een
relatief beperkte groep. Speervissers maken meestal over een langere periode gebruik van
dezelfde malware om de beoogde informatie binnen te krijgen. Daarom zijn speervisaanvallen
weliswaar duurder, maar ze zijn ook lucratiever.
Het hengelen naar waardevolle digitale bronnen heeft zich in de loop der jaren steeds verder
ontwikkeld en geprofessionaliseerd. De evolutie van deze vorm van cybercriminaliteit staat nog
in haar kinderschoenen. Er zijn inmiddels wel technologische middelen beschikbaar om
speervissen te bestrijden [Contos 2011]. Maar zelfs de beste technologie faalt als ze niet wordt
aangevuld door best practices van beveiliging.
b. Netwerk controle: gericht op het detecteren van APT’s — Advanced Persistent Threats [McAfee];
detecteren en elimineren van kwaadaardige attachments met geavanceerde antimalware; implementeren
van verificatiemechanisme voor identiteit van afzender;
c. Data controle: systemen die potentiële inbreuk op data tijdig melden en voorkomen [Data Loss
Prevention], en
d. Management controle: het verspreiden van reputationele informatie zodat kwaadaardige IP’s, URL’s, e-
mails, bestanden etc geïdentificeerd en geblokkeerd kunnen worden voordat ze het netwerk binnendingen.
De meest voor de hand liggende maatregelen voor beveiliging tegen speervissen en andere
vormen van persoonsgerichte cybercriminaliteit liggen op het vlak van opleiding, beleid en
reactieplan.
Opleiding
In de opleiding moeten personeelsleden leren hoe Diepe onwetendheid
“Een van de belangrijkste oorzaken van het
tactieken van speervissen werken. Door
succes van cybercrim is (...) de diepe
praktische speervisoefeningen kunnen zij ervaren onwetendheid van de meeste computer-
gebruikers. Deze onwetendheid wordt mede
hoe makkelijk ze zelf voor de gek gehouden
veroorzaakt door een onderwijssysteem dat op
kunnen worden (kijk in de spiegel). Via trainingen trucjes traint in plaats van dat het mensen echt
kunnen werknemers oneigenlijk gebruik van inzicht biedt. Het 'computerrijbewijs' is gewoon
een cursus MS-Windows & MS-Office en geeft
informatie- en communicatiesystemen beter leren geen enkel inzicht in wat een computer doet of
herkennen. Voor slimme criminele speervissers is hoe netwerken functioneren. Niet dat iedereen
tot systeemprogrammeur hoeft te worden
het gemakkelijk om een e-mail adres of een URL opgeleid, maar en set minimale inzichten (zoals
te laten lijken op een legitiem domein. Zelfs als je het kunnen 'lezen' van een URL) zou al veel
leed kunnen voorkomen.” [Arken Kamphuis, in:
er zeker van bent dat de e-mail die je ontvangt Webwereld, 15.3.12].
daadwerkelijk door een collega is verstuurd, dan
is er altijd nog een kans dat deze een kwaadaardige link of download bevat, zonder dat die
collega daar weet van heeft. Ze moeten leren welke maatregelen er genomen moeten
worden als vermoed wordt dat ze het doelwit van speervissers zijn. Al deze activiteiten zijn
gericht op het verhogen van het beveiligingsbewustzijn (security awareness).
Beleid
Maak in eigen beleid duidelijk dat er door directies, leidinggevenden, hulpdiensten of
systeembeheerders nooit gebruikersnamen, wachtwoorden of andere toegangscodes worden
gevraagd via telefoontjes, sms-jes, e-mails of via bijlagen of hyperlinks in e-mails. Voor
telefooncontact kan een uitzondering worden gemaakt wanneer men de beller persoonlijk
kent of een telefoontje kan retourneren op een bekend bedrijfsnummer. Beleidsmatig moet
worden vastgelegd welke typen informatie absoluut nooit via persoonlijk e-mails, sms’jes,
blogs, tweets of andere sociale netwerken verspreid mogen worden.
Reactieplan
Stel een gedetailleerd plan op waarin wordt beschreven hoe er gereageerd moet worden op
een spionage incident en welke specifieke acties er na zo’n incident ondernomen moeten
Via bijlagen van e-mails, besmette advertenties of een drive-by-download wordt eerst de
computer van het slachtoffer geïnfecteerd met ransomware. De ransomware blokkeert
vervolgens de toegang tot je eigen computer of encrypteert alle bestanden die daar op staan.
Om de computer en haar bestanden te ‘bevrijden’ moet het slachtoffer losgeld betalen. Volgens
Symantec maakt ongeveer 3% van de slachtoffers geld over in de hoop dat zij de controle over
hun computer terugkrijgen en hun bestanden ontsleuteld worden. De kans is echter veel groter
dat cybercriminelen de prijs verhogen dan dat ze je de sleutel sturen.
De afpersers maken vaak gebruik van e-mails met CryptoLocker, een programma dat elk
bestand op de computer encrypteert zodra de e-mail wordt geopend. Zelfs eventuele back-up
bestanden worden versleuteld als je opslagapparaat voor deze bestanden met je computer
verbonden was toen CryptoLocker toesloeg. Alle bestanden in een gedeelde netwerkschijf
ondergaan hetzelfde lot. Het is een DOR-aanval: Denial of Resources.
Als de bestanden zijn ge�ncrypteerd krijgt het slachtoffer een popup te zien met het bericht:
“Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated
for the computer. To decrypt files you need to obtain the private key.
Click Here
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the
Internet; the server will destroy the key after a time specified in this window. After that, nobody and never
will be able to restore files.”
Vervolgens wordt $300 ge�ist (of een vergelijkbaar bedrag in een andere valuta) voor de
private key en wordt gewaarschuwd dat “any attempt to remove or damage this software will
CryptoLocker maakt gebruik van asymmetrische encryptie die werkt met twee sleutels: de
‘public key’ versleutelt de data met de ‘private key’ kan deze worden ontcijferd. De malware zet
de publieke sleutel op de computer van het slachtoffer, maar de private sleutel wordt
opgeslagen op de commandoserver van de cybercriminelen.
Bijvangst
Bij een gijzeling met ransomware ben je niet langer in staat om je eigen bestanden te openen, lezen of
bekijken. Maar de crimineel met de decrypotiesleutel kan dit wel doen. Cybercriminelen kunnen dus toegang
krijgen tot al je documenten met wachtwoorden en persoonlijke of financi�le informatie, inclusief je foto’s en
video’s. Voor de cyberafperser zijn dit indirecte opbrengsten van de gijzeling, het is bijvangst of nevenbuit.
De zwakte van het Trojaanse paard dat de dokter had gecre�erd was dat de bestandnamen met symmetric
cryptografie waren versleuteld. Toen experts de kwaadaardige code konden analyseren kon de encryptie
eenvoudig ongedaan worden gemaakt en werd ook duidelijk wie de ransomware had gemaakt.
Omdat dr. Popp geestelijk ziek werd verklaard hoefde hij zijn misdaad niet voor de rechter te verantwoorden.
Maar hij beloofde de winst van zijn criminele onderneming te doneren aan onderzoek naar AIDS.
Bij asymmetrische encryptie is reverse-engineering praktisch onmogelijk. In 1996 lieten de twee onderzoekers
Adam Young en Moti Yung voor het eerst zien hoe asymmetrische encryptie gebruikt kon worden in
ransomware [Young/Yung 1996; TechRepublic, 11..1.10].
Betalingsmethoden
Cybercriminelen zijn bang dat zij kunnen worden opgespoord door het spoor dat het betaalde losgeld nalaat.
Soms wordt gevraagd om het losgeld te storten via Western Union. Dan weer wordt ge�ist dat het slachtogger
iets bestelt van een speciale website, die meestal in Rusland draait. Sinds 2009 wordt van het slachtoffer ook
betaling gevraagd in de vorm van het versturen van een premium SMS bericht. Dat is een SMS’je waarvoor de
ontvanger een speciaal tarief betaalt (Premium MT).
Het slachtoffer sms’t een keyword naar een verkort nummer (bijvoorbeeld 3669). Vervolgens ontvangt hij een
SMS-bericht terug van de cybercrimineel. Voor het ontvangen van dat SMS-bericht betaalt hij een bepaald
bedrag dat in rekening wordt gebracht via zijn telefoonrekening. Ideaal voor marketingcampagnes, prijsvragen
en collectes voor goede doelen —maar ook voor cybercriminelen.
Door de opkomst van de smartphones werden premium SMS-berichten een gangbare manier van
monetariseren van mobiele malware . De mobiele malware neemt de controle van de besmette smartphone
over en het beveelt om een bericht te sturen naar een premium sms-nummer, waardoor de daders of hun
geldezels betaald worden via de mobiele provider van het slachtoffer.
Sinds de opkomst van virtueel geld zoals de bitcoin, eisen cyberdaders van hun slachtoffers dat zij in bitcoins
betalen. Zij moeten bij een online wisselkantoor bitcoins inkopen en overdragen aan de criminelen die dus in
dit geval direct geld ontvangen, maar toch anoniem blijven.
Een minder bekend —door Wikileaks aan het licht gebracht— voorbeeld van datagijzeling is de
afpersing van de Amerikaanse staat Virginia op 30 april 2009. Daar verschafte een hacker zich
toegang tot een medische databank (Virginia’Prescription Monitoring Program) en stal daar
bijna 8,3 miljoen patiëntendossiers en meer dan 35,5 miljoen voorschriften van medicijnen. De
staat Virginia ontving een brief waarin losgeld werd gevraagd. Daarin zei de afperser dat hij in
het bezit was van de medische gegevens:
“Ik heb jullie shit in ‘mijn’ bezit. [...] Ik heb een geëncrypteerde backup gemaakt en het origineel vernietigt.
[...] Voor $ 10 miljoen ben ik graag bereid het wachtwoord op te sturen.”
De afperser dreigde dat hij de gegevens op aan de hoogste bieder de vrije markt zou verkopen
als hij het losgeld niet zou krijgen. Het is niet helemaal duidelijk of de staat Virginia losgeld
heeft betaald. Van de dader(s) ontbreekt nog elk spoor [Washington Post, 4.5.09; Fox News,
7.5.09; CBS, 15.6.10].
Dit voorval is niet uniek. In meerdere gevallen werd losgeld gevraagd om de gegevens vrij te
geven, en in veel gevallen waren eigen werknemers of onderaannemers bij de gijzeling
betrokken [PHIprivacy, 25.9.12]. De medische sector is er nog niet in geslaagd om adequate
beveiligingsmaatregelen te nemen om inbraken op pati�ntendossiers en andere vertrouwelijke
medische informatie te voorkomen of tijdig te detecteren — vooral niet als het inbraken van
binnenuit betreft.
Idiotenbelasting
De crackersgroep Rex Mundi gespecialiseerde zich in het afpersen van personen en instellingen.
Zij stelen gevoelige informatie en dreigen deze online te plaatsen als de slachtoffers niet bereid
zijn om een «idiotenbelasting» te betalen. Rex Mundi is geen gewone groep van criminele
hackers. Zijn claimen ‘ethische’ hackers te zijn die alleen maar doelwitten selecteren die het
verdienen om bestolen te worden. De groep verwijt haar slachtoffers dat zij sjoemelen met de
beveiliging van hun klantgegevens of dat zij zelf hun klanten bestelen. Dat neemt niet weg dat
het winstoogmerk domineert: “we’re in it for the money, which is also pretty awesome.”
Rex Mundi perste diverse bedrijven af: AmeriCash Advance (klantgegevens van
credietnemers), het Nederlandse uitzendbureau Accord, de Belgische kredietverstrekker
Elantis, het Belgische uitzendbureau AGO-Interim (database bevat allerlei denigrerende teksten
over sollicitanten), het Canadese uitzendbureau Drake International, de Franse
kredietverstrekker Credipret en de financieringsinstelling Buy Way.
In juni 2014 maakte Rex Mundi zich meester van 650.000 klantgegevens van Domino’s Pizza.
Zij eisten een losgeld van €30.000 en dreigden bij niet-betaling de gegevens openbaar te
maken. Om de claim kracht bi te zetten, plaatsten zij gegevens van zes klanten online. Met
naam, adres, telefoonnummer, e-mailadres en wachtwoord. De afpersers beweerden dat ze de
databank met klantgegevens kraakten om aan te tonen dat de websites van Domino’s Pizza
kwetsbaar zijn [Tweakers, 13.6.14].
Computervredebreuk en Afpersing
Rex Mundi maakt zich schuldig aan computer criminaliteit (computervredebreuk) en een vermogendsdelict
(afpersing). Op ‘afpersing’ staat in Nederland een vrijheidsstraf van ten hoogste 9 jaar of een geldboete van de
5e categorie. Op ‘computervredebreuk’ [artikel 138ab] staat nu nog een gevangenisstraf van ten hoogste 1
jaar of een geldboete van de 4e categorie. Wanneer de inbreker echter (i) gegevens uit de computer voor
zichzelf of anderen vastlegt, of (ii) de verwerkingscapaciteit van de computer voor zichzelf aanwendt, of (iii) de
ingebroken computer gebruikt als startpunt voor een verdere inbraakpoging in een andere computer, dan
neemt de maximumstraf toe tot 4 jaar of een geldboete van de vierde categorie.
In aansluiting bij de Europese richtlijn wordt in het wetsvoorstel van de Minister van Veiligheid en Justititie de
celstraf voor normale computerdelicten verhoogd tot maximaal 2 jaar. Voor computerdelicten die in
georganiseerd verband worden gepleegd of die ernstige schade veroorzaken of gericht zijn tegen vitale
infrastructuren wordt de maximum celstraf verhoogd tot 5 jaar [Memorie van Toelichting, 7.2.14].
Spyware: het opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen
die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie
of door middel van een geautomatiseerd werk [art. 139c]
Voorhanden hebben van malware en inbraakinstrumenten: het in bezit behhen van een technisch
hulpmiddelwaarmee een gesprek, telecommunicatie of andere gegevensoverdracht of andere
gegevensverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of
opgenomen [art. 139d)
Denial of service aanvallen: het opzettelijk en wederrechtelijk belemmeren van de toegang tot of het
gebruik van een geautomatiseerd werk door daaraan gegevens aan te bieden of toe te zenden [art. 138b];
Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of
onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte
van zodanig werk genomen veiligheidsmaatregel verijdelt [161sexies].
Cybotage van infrastructuren (‘Beschadiging van werken ten algemenen nutte’): het opzettelijk en
wederrechtelijk vernielen, beschadigen, onbruikbaar, onklaar of wegmaken van spoorweg- of
elektriciteitsnetwerken, geautomatiseerde werken of netwerken voor telecommunicatie die dienen tot
waterkering, waterlozing, gas- of waterleiding of riolering, voor zover deze werken ten algemenen nutte
gebezigd worden, dan wel ten behoeve van de landsverdediging [art. 351]. En het opzettelijk vernielen,
beschadigen of onbruikbaar maken, verstoren van de gang of werking enig geautomatiseerd werk of enig
werk voor telecommunicatie, of het verijdelen van veiligheidsmaatregel verijdelt [art. 161sixies]. Dit artikel
wordt overgeheveld naar een nieuw artikel 350c waarin samenvattend strafbaar wordt gesteld het
opzettelijk vernielen, beschadigen, onbruikbaar maken of verstoren van de werking van geautomatiseerd
werk of werk voor telecommunicatie. Daarbij vervalt de eis dat het moet gaan om ‘gegevens ten algemene
nutte’ en ook dat het moet gaan om stroonissen in een ‘openbaar’ telecommunicatienetwerk of een
‘openbare’ telecommunicatiedienst.
CyberInlichtingen
@@@@.
SSL en TLS zijn technologieën voor het maken van een geëncrypteerde verbinding tussen een webserver en
een internetbrowser. Zo’n verbinding moet ervoor zorgen dat alle data die tussen een webserver en browser
worden verstuurd geheim blijven voor buitenstaanders en niet gestolen kunnen worden. SSL- of TLS-
certificaten worden gebruikt voor het beveiligen van online transacties en voor de encryptie van
creditcardgegevens of persoonlijke informatie. Deze certificaten zijn versleuteld met asymmetrische
cryptografie; de communicatie tussen gebruiker en server wordt versleuteld met symmetrische cryptografie.
De meest superieure vorm van cyberspionage is het inbreken bij producenten van
vertrouwensmechanismen. Dat was precies wat er in 2011 in Nederland gebeurde: er werd
ingebroken op DigiNotar, de belangrijkste leverancier van beveiligingscertificaten. Het toonde
aan dat er intussen meer tactisch denkende aanvallers opereren in het digitale strijdperk.
aanval op een database: de SQL injectie. De welke informatie zij willen zien. Cybercriminelen
maken hiervan gebruik om een extra SQL-verzoek
hacker kreeg uiteindelijk de controle over de toe te voegen, waardoor de inhoud van de
servers van DigiNotar. Er werden 531 SSL- databank wordt aangepast of toegang wordt
verkregen tot niet publiek toegankelijke
veiligheidscertificaten gestolen. Sommige daarvan gebruikersnamen en wachtwoorden. Dit toevoegen
kunnen gebruikt worden om nepupdates voor van zo’n verzoek wordt SQL-injectie genoemd.
Een van de directe gevolgen van deze inbraak was dat DigiNotar op 29 juli 2011 een certificaat
voor het domein google.com uitgaf aan onbekende personen in Iran. Wekenlang probeerde
DigiNotar deze valse uitgifte te verzwijgen. Zelfs na publicatie over de diefstal hield het bedrijf
bij hoog en bij laag vol dat haar systemen niet gecompromitteerd waren. Maar uiteindelijk
moest zij toegeven dat haar certificaten niet meer veilig waren. In het forensisch onderzoek
van het beveiligingbedrijf Fox-IT werden de fouten in de procedures en systemen van DigiNotar
aan het licht gebracht. Diginotar maakte gebruik van verouderde software, haar wachtwoorden
waren gemakkelijk te kraken en er werd geen gebruik gemaakt van antivirusprogrammatuur.
Dodelijke hack
Het belangrijkste doel van de inbraak bij Diginotar was waarschijnlijk het achterhalen van de tegenstanders
van het Iraanse regime. In Iran werden internetters die dachten bij Gmail in te loggen omgeleid naar een
andere website die niet te vertrouwen was. Ook netwerken van universiteiten werden gekraakt. Met de van
DigiNotar gestolen certificaten kon de Iraanse overheid haar burgers bespioneren, zelfs als deze verbinding
hebben met beveiligde https-websites.
Door de hack bij DigiNotar kon de regering gemakkelijk achterhalen welke mensen met welke idee�n
rondliepen en waar deze personen zich bevonden. Op die manier proberen de machthebbers in Iran de
oppositie de kop in te drukken [Nu.nl:13.10.2011].
Toch bleef het ook in dit geval lastig te bepalen wie er voor de aanval op DigiNotar
verantwoordelijk was en wat het eigenlijke doel van de hele operatie was. Sommige experts
beschouwen de DigiNotar-hack daarom als een cyberoorlogsdaad (‘worse than Stuxnet’).
“De aanval op DigiNotar zal cyberoorlog bovenaan of dicht bij de top van de politieke agenda van Westerse
regeringen zetten. Ik blijf erbij dat het meest plausibele scenario een regeringsoperatie is. De schade die is
toegebracht aan de Nederlandse (overheids-) IT-infrastructuur is zeer significant. Een groot aantal diensten
zijn niet langer beschikbaar. De communicaties zijn feitelijk ontregeld. Daarom kan men zeggen dat de
aanval een daad van cyberoorlog is” [Roel Schouwenberg van beveiligingsbedrijf Kaspersky, in The Guardian,
5.9.11].
Maar daar zijn niet alle beveiligingsexperts het Op de server van Diginotar werd een script
aangetroffen dat bedoeld was om handtekeningen
mee eens. Robert Graham, de CEO van Errata
aan te maken voor aangevraagde certificaten. Het
Security, wisselde e-mails met de inbreker en script bevat een Engelse tekst waarin de hacker zijn
vingerafdruk had geplaatst: Janam Fadaye Rahbar.
bevestigde dat hij inderdaad verantwoordelijk
Dezelfde tekst was gevonden in de Comodo hack
was voor de hacks. De persoon die claimde dat [Onderzoeksrapport van Fox-It].
hij eerder het certificatiesysteem van Comodo
had gehackt, beschikte inderdaad over de private key van zijn ontvreemde certificaten.
Graham gelooft niet in de Iran-connectie:
“We gaan uit van de vooronderstelling dat iedereen die de regering steunt daar ook voor de regering werkt
en dat is gewoon niet waar. Mijn theorie is dat hij precies is wie hij zegt dat hij is. Alle sporen wijzen in deze
richting. Er is geen enkel bewijs dat hij onderdeel is van een door de staat gesponsorde inspanning. De
aanval is niet zo ingewikkeld. Het is gewoon iets wat een gemiddelde penetratietester zou doen” [Errata
Security, 28.3.11].
Bedreigingen
Een week na zijn aanval op de digitale certificaten van Comodo stuurde de hacker —die zich ook wel ‘Ich Sun’
noemt— een brief aan de Italiaanse vicepresident van Comodo, Massimo Pence. Hij maakt zich daarin erg boos
over het feit dat de topman van Comodo niet op zijn brieven reageert. “Because I didn’t saw your reply, for
now, just for now, I wiped your LG Drive and F:\drive and all log files.” Hij dreigt nog veel verdergaande
maatregelen te nemen als Pence niet op hem reageert. “So now, contact me before I do something so
dangerous. Simply personally contact me, do not try to find me, do not try to remove me, do not try
anything...”
De CEO van Comodo, Melih Abdulhayoglu, zei dat hij over bewijzen beschikte dat de aanval
door een staat werd ondersteund en dat waarschijnlijk de Iraanse regering achter de aanval
zat. Alleen de Iraanse regering was in staat om de DNS (domain name system) van het land zo
in te richten dat het verkeer naar fake sites werd verstuurd die beveiligd waren door gestolen
certificaten. Maar de Comodo hacker spreekt dit tegen. In zijn eerste bericht op Pastebin
benadrukt hij zijn alleenrecht op de certificatendiefstal:
“I see Comodo CEO and other wrote that it was a managed attack, it was a planned attack, a group of cyber
criminals did it, etc. Let me explain: I’m not a group, I’m single hacker with experience of 1000 hacker, I’m
single programmer with experience of 1000 programmer, I’m single planner/project manager with
experience of 1000 project managers, so you are right, it’s managed by 1000 hackers, but it was only I with
experience of 1000 hackers” [A message from Comodo hacker, 23.2.11].
De hacker motiveert zijn actie als een vergelding voor de door Stuxnet-aanval die de VS en
Israël pleegden op de kerncentrales in Iran.
“When USA and Israel write Stuxnet, nobody talks about it, nobody gots blamed, nothing happened at all, so
when I sign certificates nothing happens, I say that, when I sign certificates nothing should happen. It’s a
simple deal. When USA and Israel could read my emails in Yahoo, Hotmail, Skype, Gmail, etc. without any
simple little problem, when they can spy using Echelon, I can do anything I can. It’s a simple rule. You do, I
do, that’s all. You stop, I stop. It’s rule #1.”
Comodo wil in Iran niemand wil toelaten die de bevolking, haar nucleaire wetenschappers, zijn
leider, zijn president kwaad doet. Zolang hij leeft zal er voor ‘jullie’ geen privacy op internet
bestaan en zullen ‘jullie’ niet veilig zijn in de digitale wereld. “I’ll show you how someone in my
age can rule the digital world.” En met een knipoog: “My orders will equal to CIA orders.”
In zijn tweede bericht Another proof of Hack from Comodo Hacker [27.3.11] gaf hij een
uitvoerig technisch bewijs van zijn inbraak. In een derde bericht Comodo Hacker: Mozilla Cert
Released [28.3.11] werd voor “some real dumbs” nog een bewijs aan toegevoegd. In zijn
vierde bericht Just Another proof from Comodo Hacker [28.3.11] en in het vijfde bericht
Response to comments from ComodoHacker [29.3.11] reageert hij uitvoerig op alle
commentaren.
In de laatste twee berichten vertelt Comodohacker dat hij de laatste zes jaar van zijn leven
besteed heeft aan encryptie en cryptoanalyse: “most of my daily work focuses on encryption
algorithms, differential cryptanalysis, inventing new methods of attacks on encryption
algorithms, creating new secure encryption algorithms (symmetric and asymmetric), creating
secure hash algorithm.” Hij nodigt iedereen uit om contact met hem op te nemen op:
ichsun@ymail.com.
Bij cyberaanvallen is meestal niet duidelijk wie daarvoor verantwoordelijk is. Bij DigiNotar lijkt
de eerste verantwoordelijkheid voor de diefstal van beveiligingscertificaten duidelijk. De
Comodo Hacker alias Ich Sun eiste de verantwoordelijkheid op en kon dit —door het tonen van
de private key— ook bewijzen. Dit sluit betrokkenheid van de Iraanse overheid bij deze
cyberoperatie niet uit — zij kan hiervan voor eigen repressieve doeleinden hebben geprofiteerd.
compromitteren, brengen zij een ernstig slag toe aan de veiligheid van transacties en
communicaties via internet. Het exploiteren van beveiligingssoftware is de meest geavanceerde
vorm van cyberspionage. Naties en nationale defensies die niet in staat zijn om de
vertrouwensmechanismen van hun digitale transacties en communicaties te beschermen, staan
bij internationale conflicten die (ook) in cyberspace worden uitgevochten bij voorbaat op
achterstand.
Beveiligingscontrole en penetratietest
Een hoogwaardige en complexe cyberaanval vereist een lange voorbereidingstijd. Eerst moet
een zo nauwkeurig mogelijk beeld worden verkregen van de doelwitten. Er moet een blauwdruk
worden opgesteld van de technische computersystemen (footprinting), van alle informatie- en
communicatieprocessen, en van de mensen die deze technologieën bedienen. Pas dan is het
mogelijk een aanvalstactiek te ontwikkelen die ongemerkt door de beveiligingsmechanismen
kan dringen.
Beveiligingscontrole
Bij een beveiligingscontrole (security audit) worden mogelijke kwetsbaarheden van een of
meer computersystemen in kaart gebracht zonder dat er daadwerkelijk een poging wordt
gedaan om in te breken. Er wordt gecontroleerd wat de risico’s zijn. Een risico is de
relatieve kans dat een kwetsbaarheid van een computersysteem of netwerk kan worden
misbruikt in combinatie met het gewicht van de schade die zo’n exploitatie kan opleveren.
Het soortelijk gewicht van een exploitatie is afhankelijk van de mate waarin daadwerkelijk
de controle over computers of netwerken kan worden overgenomen dan wel vitale
informatie- of communicatieprocessen beschadigd kunnen worden.
Niet alle kwetsbaarheden zijn exploiteerbaar. Er zijn ook kwetsbaarheden die wel
Penetratietest
De beste manier om te voorkomen dat cybercriminelen inbreken in informatie- en
communicatienetwerken is het uitvoeren van een penetratietest. Bij een penetratietest
(pentest) worden de kwetsbaarheden van het systeem juist wel gebruikt om in te breken. In
een penetratietest wordt de exploitatie van een beveiligingslek in de computersystemen en
netwerken door een crimineel nagebootst (security assessment). Het is een brandoefening
waarin mensen worden voorbereid op de tijd dat er een echte digitale brand uitbreekt.
Een exploit omvat de injectie (mechanisme om shellcode op de gekraakte computer aan te brengen), de
shellcode (programma/instructies die een aanvaller probeert uit te voeren op gekraakte computer) en de
payload (code met commando’s die op het doelsysteem moeten worden uitgevoerd) . De shellcode wordt
gebruikt als de payload in de exploitatie van een kwetsbaarheid in de software.
Automatische spionnen
De weerbaarheid en het herstelvermogen van computersystemen en netwerken kan handmatig
worden getest. Dat is wat veel hobbyistische en ambachtelijke hackers doen. Professionele
inbrekers gebruiken gespecialiseerde softwarepaketten waarmee beveiligingscontroles en
penetratietests automatisch worden uitgevoerd.
Verkenningsfuncties
Host-discovery Identificeren van de op een netwerk aanwezige hosts (via ping- of arp-scans).
Port-scanning Zoeken naar open TCP/IP-poorten op een of meerdere doelcomputers
OS-detection Bepalen welke besturingssystem de doelcomputer gebruiken
Service-detection Inventariseren van de diensten die het systeem aanbiedt.
Version-detection Inventariseren van welke versies er gebruikt worden van aangeboden diensten.
Packet filter/Firewall detection Identificatie type van type packet filter en firewall.
Testfuncties
Vulnerability detection Testen van doelsysteem en aangeboden diensten op aanwezige kwetsbaarheden.
Penetratietest Simuleren van externe en interne aanvallen.
Ontwikkelen en testen van exploitatieprogramma�s die gebruik maken van
Exploit design
kwetsbaarheden van computersystemen en netwerken om daarop in te breken.
Met behulp van eenvoudige scripts wordt een grote diversiteit van tests geautomatiseerd. Om
maximale snelheid en flexibiliteit te garanderen kunnen deze scripts parallel worden
uitgevoerd.
Alle diensten (TCP of UDP) die door een netwerk worden aangeboden, worden getest om te
bepalen of en hoe daarop kan worden ingebroken, of er DDoS-aanvallen op uitgevoerd kunnen
worden, en of er via deze diensten gevoelige informatie verkregen kan worden.
De meer geavanceerde softwarepakketten fungeren als platform voor het ontwikkelen, testen
en gebruiken van inbraakmethodieken (exloits) die onzichtbaar zijn voor antivirussoftware en
voor systemen van inbraakdetectie en -preventie.
Voorbeelden van dit soort pakketten zijn Shodan, Nessus, OpenVAS, Core Impact, SAINT,
Wireshark, Metasploit en het commerciële Finfisher.
Tegenwoordig wordt Telnet vooral gebruikt voor het opzetten, testen en herzien van
verbindingen die onder andere protocollen draaien.
Shodan werkt eigenlijk heel eenvoudig: het zoekt het hele internet af naar poorten van
webservers en indexeert alle HTTP headers die gevonden worden. Je kunt zoeken naar een
kwetsbaarheid die je op een doelsysteem kunt exploiteren, maar je kunt ook een exploit
kiezen en vervolgens een systeem zoeken dat daar kwetsbaar voor is. Zo wordt het
kinderlijk eenvoudig om systemen te vinden die kwetsbaar zijn voor een SQL-injectie. Met
Shodan kunnen hackers razendsnel en efficiënt systemen vinden waarop gemakkelijk kan
worden ingebroken.
Shodan werd ontworpen door John Matherly. In 2003 vroeg hij zich
als teenager af hoeveel hij aan de weet kon komen over apparaten
die aan het internet verbonden zijn. Na jaren sleutelen aan de code
vond hij een manier om de specificaties van alle apparaten in kaart
te brengen: van desktopcomputers tot netwerkprinters en
websevers.webcams, routers, energiecentrales, iPhones, John Matherly
controlesystemen. Op dit moment zijn al meer dan 12 miljard van alle apparaten met het
internet verbonden en in het volgende decennium zullen dat er 50 miljard zijn.
In 2009 nodigde Matherly zijn vrienden uit om Shodan uit te proberen. Zij ontdekten iets
verbazingwekkends: talloze industriële controlecomputers waren verbonden aan het internet
en in een aantal gevallen stonden zij ver open voor exploitatie door zelfs gematigd
getalenteerde hackers.
In twee jaar tijd vond Shodan bijna honderd miljoen apparaten: legde hun precieze locatie
vast en de software systemen die er op gebruikt worden. Per maand compileert Shodan de
informatie van 10 miljoen nieuwe apparaten. In 2010 waarschuwde het Amerikaanse
cybercrisisteam voor industriële controlesystemen (ICS-CERT) dat Shodan gebruikt werd om
toegang te krijgen tot SCADA-systemen. Daarbij wordt gebruik gemaakt van
kwetsbaarheden in de mechanismen voor authenticatie en autorisatie. Sommige
identificatiesystemen maken nog steeds gebruik van de standaard gebruikersnamen en
wachtwoorden zoals deze door de verkopers van SCADA-systemen worden aangeleverd.
Core Impact is een van de meest krachtige exploitatie-instrumenten, maar kost wel
minstens $30.000. Het programma heeft een paar aardige trucs in huis: eerst wordt
ingebroken in een computer en vervolgens wordt in die machine een een geëncrypteerde
tunnel aangelegd om andere netwerkstations te bereiken en te exploiteren.
SAINT (Security Administrator’s Integrated Network Tool) is een netwerkscanner die zoekt
naar kwetsbaarheden waarop kan worden ingebroken. Zowel interne als externe aanvallen
kunnen worden gesimuleerd om de robuustheid van het doelsysteem te bepalen. Alle
diensten die op een netwerk worden aangeboden worden getest op inbraakgevoeligheid,
mogelijkheden om de toegang tot deze diensten te blokkeren en op de kans om gevoelige
informatie te vervreemden. De gevonden kwetsbaarheden kunnen op verschillende
manieren worden gecategoriseerd: naar ernst, type of hoeveelheid. SAINT controleert niet
alleen of er kan worden ingebroken op de poorten van de computers van een netwerk, maar
kan ook DOS-aanvallen uitvoeren en gevoelige informatie stelen.
platform voor het ontwikkelen, testen en gebruiken Metasploit Express en Metasploit Community.
van exploitcode die misgebruik maakt van kwetsbaarheden van computernetwerken om
daarop in te breken. De penetratietester maakt de testaanvallen onzichtbaar voor antivirus
Aan dit bouwpakket voor hackers worden telkens nieuwe modules toegevoegd. Medio 2012
werd er bijvoorbeeld een module toegevoegd waarmee de veiligheid van
beveiligingscamera’s getest kan worden. Veel camera’s die voor video surveillance worden
gebruikt zijn kwetsbaar en kunnen door kwaadwillenden op afstand worden overgenomen.
Zij kunnen dan niet alleen live meekijken, maar ook de camera besturen en het opgeslagen
archiefmateriaal bekijken [Security, 18.5.12]
De FinUSB Suite bestaat uit een ‘headquarter notebook’ en tien kleine USB-sticks die
speciaal ontworpen zijn om gebruikersnamen en wachtwoorden te kapen en om de laatst
geopende of gewijzigde bestanden te stelen. De spyware verzamelt in ongeveer 20
seconden de geschiedenis van bezochte sites, instant messages en de inhoud van de
prullenmand. De USB-stick weet door eventueel beschermende wachtwoorden heen te
breken en laat geen enkel spoor na. Kosten: 13.080 euro [Brochure; Video].
Specificaties; Handleiding; Produkt Training]. Wie op nationaal niveau wil spioneren gebruikt
de FinFly ISP, waarmee de internetproviders zelf worden geïnfiltreerd [Brochure; Video].
De FinFly Web is een instrument om een webpagina te maken waardoor de computers van
alle bezoekers met de spyware worden besmet. In de handleiding wordt uitgelegd hoe
doelwitten naar zo’n webpagina kunnen worden gelokt en hoe ze kunnen worden verleid om
een bestand te downloaden dat afkomstig lijkt te zijn van een bekend softwarebedrijf, zoals
een plug-in van Flash of RealPlayer of een Java-applet. Daarbij wordt nadrukkelijk vermeld
dat het programma zeer geschikt is om dissidenten te infecteren die websites bezoeken die
de overheid onwelgevallig zijn [Brochure; Video]. Kosten: 36.600 euro.
Het is niet verbazingwekkend dat FinFisher zeer populair is in repressieve regimes. In het
hoofdkwartier van de staatsveiligheidsdienst vonden Egyptische demonstranten op 6 maart
2011 een offerte om voor € 287.000 FinFisher te kopen [F-Secure, 8.3.11]. In april en mei
2012 bleek dat ook in Bahrein de spyware via lokmails naar activisten was verstuurd om
In februari 2013 diende Bahrain Watch samen met vier andere internationale mensenrechtengroepen een
klacht in tegen Gamma bij de OECD (Organisation for Economic Co-operation and Development) voor het
verbreken van haar richtlijnen over mensenrechten door het exporteren van haar software naar de
overheid van Bahrein. Tegelijkertijd verzocht de mensenrechtengroep Privacy International de
douaneafdeling van Groot-Britanni� om Gamma te onderzoeken voor het potentieel illegale export van
spyware naar Bahrein. Begin 2014 tikte het hooggerechtshof de overheid hard op de vingers voor het
verbergen van details in deze kwestie [Privacy International, 12.5.214].
Gamma heeft altijd ontkend dat zij spyware aan de regering van Bahrein heeft verkocht. Maar er zijn te
veel bewijzen van het tegendeel [BahrainWatch, 7.8.14].
Wachtwoorden kraken
a. Standaard wachtwoorden
Het is verbazingwekkend hoe gemakkelijk het cybercriminelen vaak gemaakt wordt. Heel vaak
vergeten gebruikers of systeembeheerders het standaard wachtwoord van een nieuw
informatiesysteem te wijzigen. Een crimineel hoeft dan alleen maar de handleiding van zo’n
systeem te bemachtigen.
Op die manier kreeg bijvoorbeeld in 2011 een hacker toegang tot de watervoorziening in Houston
(Texas). Hetzelfde gebeurde in 2012 met het Cisco-vergadersysteem bij het Nederlandse ministerie van
Defensie. Het standaard fabriekswachtwoord van het communi�catie��systeem stond in de online
handleiding. Na een tip van de hackersgroep «Anonymous» werd het lek gevonden door
beveiligingsexpert Rickey Gevers. Hij opende de inlogpagina van een topman bij de Defensie Materieel
Organisatie (DMO) met de rang van comman�deur. Op die manier kreeg hij een aantal IP-adressen en
telefoon�nummers van kazernes en kantoren, vermoedelijk ook van het Nationaal Crisis Centrum
[Volkskrant, 23.02.12; Hulsman 2012].
werk te doen. Door hun verbindingen met het internet is deze stenen beveiliging echter
waardeloos geworden. Bij inbraak wordt gebruik gemaakt van de kwetsbaarheid van de
methode van identificatie en autorisatie. De standaard wachtwoorden kunnen meestal
gemakkelijk worden gevonden in online documentatie of in online opslagplaatsen voor
standaardwachtwoorden.
Uit onderzoek blijkt dat bijna de helft van de medewerkers de wachtwoorden kent van directe
collega’s. 91% van de mensen gebruikt een wachtwoord van de lijst met 1.000 meest populaire
wachtwoorden. Bovendien gebruiken veel mensen hetzelfde wachtwoord voor verschillende
informatiesystemen. Slimme crackers weten dat en maken daar vaak handig gebruik van.
In het jaarlijkse onderzoek ter gelegenheid van de InfoSecurity-beurs in Londen ondervragen de onderzoekers
aan de vooravond hiervan kantoormedewerkers op een druk metrostation in de hoofdstad.
In 2003 bleek de overgrote meerderheid zijn wachtwoord te geven voor een pen. In
2004 was de beloning een chocoladereep. 71 procent was bereid de geheime
informatie te overhandigen, waarvan meer dan de helft zonder enige aarzeling.
Meer dan 34% van de respondenten stond zelfs vrijwillig het wachtwoord af zonder
omkoping. Hen werd alleen gevraagd of het wachtwoord iets te maken had met een
huisdier of de naam van de kinderen [BBC News].
Versleutelde wachtwoorden kunnen door sitebeheerders en dus ook door inbrekers weer
leesbaar worden gemaakt. Bij gehashte wachtwoorden kan dat niet direct. Om gehashte
wachtwoorden te achterhalen wordt elk woord uit het woordenboek gehasht met behulp van
het door het doelsysteem gebruikte cryptografische hash algoritme. Wanneer het resultaat
daarvan overeenkomt met de hashcode van het gezochte wachtwoord, dan is het wachtwoord
gekraakt [Hash Code Cracker].
Alle mogelijke opties worden uitgeprobeerd totdat de gebruikersnaam en/of het wachtwoord
gevonden wordt dat toegang biedt tot een computersysteem of netwerk. Deze methode is
weliswaar inefficiënt en zeer tijdrovend, maar als alle mogelijke combinaties van beschikbare
tekens worden uitgeprobeerd is ze 100% trefzeker.
Stel dat een computer 3 miljoen wachtwoorden per seconde kan raden. Dan kan de geschatte
maximumtijd om een wachtwoord te vinden worden berekend met de volgende formule:
seconden = karakterposities/3.000.000
De tijden die nodig zijn om wachtwoorden te raden met de methode van de brute rekenkracht
zien er dan als volgt uit.
Maximaal
Samenstelling Aantal tekens Benodigde tijd
aantal posities
De gemiddelde zoektijd naar een wachtwoord wordt meestal binnen de helft van de doorlopen
zoekruimte gevonden. In de praktijk kan de berekende de zoektijd dus door twee worden
gedeeld.
De zoektijd word nog korter als men meerdere computers gebruikt. Met deze techniek van
parallellisatie wordt de rekentaak verdeeld over meerdere afzonderlijk opererende computers
tegelijk. In plaats van één voor één de mogelijkheden te proberen doen meerdere computer
dat tegelijkertijd. Het probleem wordt in stukken opgesplitst en aan meerdere computers
toegewezen. Op die manier kan bij het kraken van een wachtwoord met 8 posities met een
systeem van 100 processoren de tijd van 70 jaar worden teruggebracht naar 70/100 jaar = 8,4
maanden.
Robuuste wachtwoorden?
Volgens een rapport van Deloitte, Canadian Technology, Media & Telecommunications (TMT) Predictions 2013,
kan meer dan 90% van de wachtwoorden van gebruikers binnen een paar seconden worden gekraakt. Nog niet
zo lang geleden werden wachtwoorden van minstens 8 tekens (met een nummer, met kleine en grote letters,
en met symbolen) als robuust gezien. Door de snelle ontwikkeling van hard- en software is dit inmiddels
achterhaald. Met de juiste apparatuur en software kan een wachtwoord met 8 tekens nu binnen vijf uur
worden gekraakt.
De Amerikaanse inlichtingendiensten NSA werkt aan de ontwikkeling van een supercomputer waarmee het
bijna alle vormen van encryptie kan kraken [Washington Post 2.2.14]. Uit de door klokkenluider Edward
Snowden gelekte documenten blijkt dat de bouw van een kwantumcomputer onderdeel is van een geheim
onderzoeksproject met de naam Penetrating Hard Targets. De NSA heeft voor dit project bijna 80 miljoen
dollar uitgetrokken. Gewone computers werken met bits, die enkel de waarde 0 of 1 kunnen hebben.
Kwantumcomputers werken met kwantumbits (ook wel qubits), die gelijktijdig een 0 en een 1 kunnen zijn. De
klassieke computer kan één berekeing per keer doen terwijl een kwantumcomputer in staat is om parallel te
rekenen — ze voert tegelijkertijd bewerkingen uit op alle oplossingsmogelijkheden. Een kwantumcomputer kan
berekeningen die onnodig zijn voor het oplossen van een probleem vermijden en is daardoor in staat om veel
sneller het juiste antwoord te vinden.
Een van de meest geavanceerde softwarepakketten voor het In zijn lezing over
acoustic intrusions
afluisteren is het door HD Moore ontwikkelde WarVOX.
legt HD Moore de
Beveiligingscontroleurs en penetratietester kunnen daarmee achtergronden en
werking van
op een snelle en goedkope manier zoeken naar
WarVOX uit.
kwetsbaarheden van het eigen telefoonsysteem. Via Voice-
over-IP-lijnen (internettelefonie) kunnen hele series
telefoonnummers worden geïnspecteerd. In de database wordt opgeslagen wie of wat de
telefoon op elk nummer heeft beantwoord. Door het gebruik van VoIP wordt wardialing minder
duur en minder tijdrovend.
WarVOX vereist geen telefonische hardware. Op een breedbandverbinding met een typische
VoIP-account kan WarVOX meer dan 1.000 nummers per uur scannen. Er kunnen zo’n tien
lijnen tegelijkertijd worden gebeld en van elk antwoord worden de eerste 20 seconden
vastgelegd. Met deze audiobestanden worden niet alleen alle verbindingslijnen met modems in
een bepaald gebied in kaart gebracht, maar alle communicatielijnen. Het programma
classificeert alle telefoonverbindingen in een specifiek gebied en maakt daardoor een
omvattende controle op een telefoonsysteem mogelijk.
Wardialing
«Wardialing» is een techniek waarbij een computer telefoonnummers binnen een gebiedscode of bedrijf
systematisch afbelt om zo een modem of een ander toegangspunt te ontdekken waarlangs een hacker of
cracker het netwerk kan binnendringen.
Bij wardialing wordt een onbekend nummer gebeld en De naam voor deze techniek is ontleend aan de film
gewacht tot de beltoon een of twee keer overgaat. WarGames uit 1983. Op zoek naar nieuwe
Computers nemen meestal al bij het eerste signaal op. computerspelletjes programmeert daarin een jonge
Als het belsignaal twee keer is verzonden, wordt er hacker zijn computer om alle telefoonnummers in
opgehangen en wordt het volgende nummer gebeld. Sunnyvale (Californië) te bellen om andere
Als een modem of faxmachine reageert dan noteert het computers te vinden. Per ongeluk komt hij zo ook in
programma het nummer. Als een persoon of de oorlogscomputer van het ministerie van Defensie
antwoordapparaat reageert dan wordt er opgehangen. [Ryan 2004].
In 2002 claimde een hacker dat 90 procent van de bedrijven via modemverbindingen kon worden aangevallen.
Dat is tegenwoordig heel anders. In het breedbandtijdperk is het traditionele wardialing op z’n retour.
Tegenwoordig leidt slechts 4 procent van de telefoonnummers naar een modem. Toch blijft wardialing bij
penetratietesters populair. Dat komt vooral omdat sommige infrastructurele voorzieningen nog steeds gebruik
maken van onveilige modems als onderdeel van hun SCADA-netwerk.
Wardriving
«Wardriving» is het zoeken naar draadloze netwerken (WiFI) vanuit een rijdend
voertuig met behulp van een laptop, tablet of smartphone. Met brute kracht
worden alle draadloze computernetwerken opgespoord en met behulp van GPS in
kaart gebracht. De hiervoor benodigde software is vrij verkrijgbaar. Varianten
hierop worden vernoemd naar het vervoermiddel dat gebruikt wordt om draadloze
netwerken in kaart te brengen: warflying, warrailing, wartraining, warbiking, en
uiteraard warwalking en warjogging.
voicemail, het bepalen van interne organisatorisch audiofragmenten kunnen alle werknemers
automatisch worden geïdentificeerd. WarVOX
relaties, het identificeren van doelwitten voor is hiervoor een uitstekend instrument.
impersonatie of het achterhalen van wachtwoorden.
Daar staat tegenover “dat andere bijzondere opsporingsmiddelen, zoals infiltratie 2007 3.997 20.985 24.982
door undercoveragenten, of opnemen van vertrouwelijke informatie door middel van 2008 2.642 23.783 26.425
microfoons, juist minder vaak in Nederland worden ingezet” [Odinot e.a 2012; 2009 3.461 21.263 24.724
2010 22.006
WODC 2012]. Omdat criminelen weten dat ze worden afgeluisterd, levert dit echter Bron: Odinot e.a. 2012:82
zelden direct bewijs op voor misdaad [WODC, 2012].
BlackShades werd al sinds 2010 voor $40 tot $100 legaal verkocht aan duizenden mensen, die
gezamenlijk voor een verkoop zorgde van meer dan $350.000. Het product werd verkocht via
druk bezochtte hackersfora. Je hoeft geen geavanceerde hacker te zijn om met dit instrument
ravages aan te richten. Met de grafische interface krijgen gebruikers een snel overzicht over
alle computers die zij hadden ge�nfecteerd, inclusief IP-adressen, naam en besturingssysteem
van de computer, het land waar de computer staat en of de computer een webcamera had.
“Blackshades was a tool created and marketed principally for buyers who wouldn�t know how
to hack their way out of a paper bag (...) Many of the customers of this product are teenagers
who wouldn�t know a command line prompt from a hole in the ground” [Brian Krebs, in: Krebs
on Security, 14.5.14]. Op een zeer actief gebruikersforum konden klanten hulp krijgen bij het
configueren en hanteren van het krachtige surveillance-instrument.
Azi� werden in 16 landen 97 mensen gearresteerd 2013 een 18-jarige man uit Rotterdam. Hij
verspreidde de RAT vooral via ge�nfecteerde
die ervan verdacht werden de kwaadaardige software plaatjes op sociale media over ongeveer 2.000
te verspreiden. Daaronder was ook de eigenaar van computers. De BlackShades RAT gebruikte hij
om bestanden te stelen en om foto’s te nemen
BlackShade, een 24-jarige Zweed Alex Y�cel. In 13 van vrouwen en meisjes binnen het gezicht
Europese land — Belgi�, Croati�, Denemarken, van webcams. Ook publiceerde hij g�nante of
zelfs pornografische beelden op de social
Duitsland, Engeland, Estland, Finland, Frankrijk,
media-accounts van zijn slachtoffers
Itali�, Moldavi�, Nederland, Oostenrijk en [Webwereld, 13.12.13].
De wereldwijde actie werd geco�rdineerd door Eurojust in Den Haag. Koen Hermans, de
Nederlandse vertegenwoordiger in Eurojust benadrukte het belang van deze operatie: �Deze
zaak toont maar weer eens aan dat niemand die gebruikmaakt van internet veilig is. Van deze
operatie moet een afschrikkende werking uitgaan voor diegenen die deze software
vervaardigen en gebruiken” [Europol, 19.5.14; Washington Times, 19.5.14].
De diefstal werd in augustus 2014 ontdekt door het Amerikaanse beveiligingsbedrijf Hold
Security [NYT, 5.8.14]. Maar de namen van de bedrijven waar de informatie is gestolen zijn
niet bekendgemaakt. Evenmin wilde Hold Security zeggen wat voor gegevens de dieven precies
hadden bemachtigd. Bedrijven kunnen aan Hold Security vragen of zij slachtoffer zijn van deze
en andere hacks. Maar voor deze Breach Notification Service moeten wel minstens 120 dollar
per jaar betalen. Voor particulieren is het abonnement de eerste zestig dagen gratis [Hold
Security, 5.8.2014]. HERLEZEN EN CHECK
De beveiligsspecialisten namen de berichten van Hold Security met een korreltje zout. Zij
vroegen zich af waarom Hold Security haar gegevens niet openbaar maakte. Was de grootste
hack ter wereld in werkelijkheid geen grote marketingstunt van Hold Security? [Data Breach
Today, 7.8.14]. Gebruikt Hold Security de gestolen gegeven om er op zijn beurt geld mee te
verdienen?
“Hold Security cre�ert angst en bied een betaalde dienst die de angst kan helpen wegnemen. Dat riekt naar
maffiapraktijken” [Matthijs Koot, IT-beveiligingsspecialist in: VK, 12.08.2014].
@@@ Hold Security is een in Milwaukee gevestigd bedrijf van de Oekra�ner Alex Holden. Het is een wat
schimmig bedrijf. De foto van het managementteam blijkt gewoon een stockfoto, te koop bij een online
fotowinkel onder de titel 'CEO met zijn team'. De foto staat bij tientallen bedrijfjes wereldwijd op de
website.VK, 12.08.2014]. Maar foto nu verdwenen.
De bende kon de data vervreemden door gebruik te maken van een al bekende kwetsbaarheid
die nog steeds in veel websites zit.[UITWERKEN @@]
Het lijkt erop dat er maar weinig persoonlijke informatie is doorverkocht. De bende zou de e-
mailadressen en inloggegevens vooral gebruiken om spam te verspreiden via e-mail en Twitter.
De bende bestaat uit niet meer dan een dozijn hackers (twintigers), afkomstig uit een kleine
stad in het zuiden van het Aziatisch deel van Rusland. In 2011 begonnen zij met het versturen
van spam en het installeren van kwaadaardige redirections op legitieme systemen, op basis
van gekochte databases met persoonlijke gegevens. Initially, the gang acquired databases of
stolen credentials from fellow hackers on the black market. Vanaf april 2014 werd de operatie
opgeschaald en werd er gebruik gemaakt van botnets (een grote groep met virus-
ge�nfecteerde computers die door een crimineel systeem worden gecontroleerd). [Ze
gebruikten botnet om honderduizenden websites te scannen op bekende kwetsbaarheden].
“Meer dan 400.000 sites werden ge�dentificeerd potentieel kwetsbaar te zijn voor een SQL-
injectie" [Hold Security - "Over 400,000 sites were identified to be potentially vulnerable to
SQL injection flaws alone"] In opdracht van de hackers testen de zombiecomputers of de door
hun eigenaar bezochte websites kwetsbaar zijn. Met die informatie konden zij bepalen op welke
sites kon worden ingebroken.
Cyberspionage in Nederland
Ook op het Nederlandse internet opereren buitenlandse spionagenetwerken die inlichtingen
verzamelen. Zij concentreren zich vooral op de gebieden van economisch welzijn &
wetenschappelijk potentieel en openbaar bestuur & vitale infrastructuur. Uiteraard is daarbij
speciale belangstelling voor militaire aangelegenheden.
“Inlichtingenactiviteiten door buitenlandse inlichtingendiensten zorgen niet alleen voor de aantasting van de
soevereiniteit van Nederland; ze veroorzaken ook grote economische schade. Buitenlandse
inlichtingendiensten verrichten in Nederland in het geheim activiteiten om de geopolitieke en economische
positie van hun eigen land te versterken. Ze proberen gevoelige en waardevolle informatie te vergaren om
bijvoorbeeld vooraf inzicht te verkrijgen in het standpunt van Nederland in onderhandelingen met een ander
land. Ook toekomstig beleid van internationale samenwerkingsverbanden waar Nederland deel van uitmaakt,
zoals de Europese Unie, de Verenigde Naties of de NAVO, heeft hun belangstelling” [AIVD, Jaarverslag 2012].
De AIVD heeft bij diverse digitale aanvallen op Nederlandse doelen sterke aanwijzingen
gevonden voor statelijke betrokkenheid en in sommige gevallen ook specifieke aanwijzingen
over het land van herkomst. Voor 2012 werden in Nederland spionageaanvallen vastgesteld uit
onder meer China, Rusland en Iran. Maar het aantal werkelijke digitale spionage-incidenten is
vermoedelijke vele malen hoger.
Na een onderzoek van tien maanden door de Information Warfare Monitor (IWM) werd het
Trojaanse paard (Ghost RAT) ontdekt. IWM voerde dit onderzoek uit op verzoek van de het
kantoor van de Dalai Lama. Het vermoeden was dat de computers van zijn Tibetaanse
vluchtelingennetwerk was geïnfiltreerd. Na installatie van de malware konden de hackers de
controle over de gecompromitteerde computers overnemen en geclassificeerde gegeven
versturen en ontvangen. Het Trojaanse paard gaf de aanvallers ook de mogelijkheid om elke
toetsaanslag van de geïnfecteerde computers vast te leggen en alle wachtwoorden en
geëncrypteerde communicaties op te vangen. Bovendien konden zij vanaf afstand de audio en
video functies van deze computers aanzetten [BBC News, 29.3.09; The Guardian, 30.3.09: The
Times, 30.3.09; New York Times, 28.3.09; Nagaraja/Anderson 2009; NOS, 29.3.09; Wikipedia:
GhostNet].
Later bleek dat degenen die voor het GhostNet spionagenetwerk zeer waarschijnlijk ook
verantwoordelijk waren voor de hack van het beveiligingsbedrijf RSA [Security.nl, 3.3.12].
Tegenwoordig kan iedereen die dat wil van het internet spionagesoftware downloaden die
dezelfde afluistermogelijkheden biedt als de Ghost RAT. “Met vrij beschikbare en gemakkelijk te
hanteren instrumenten als Ghost RAT zijn we het tijdperk van de doe-het-zelf cyberspionage
binnen getreden” [Deibert 2013:25].
Het meest verontrustend was dat het Nationaal Security Centrum (NCSC) al sinds september
2012 precies wist welke organisaties slachtoffer waren van het aan Citadel verbonden Pobelka-
botnet, maar slechts 40 á 50 daarvan had gewaarschuwd.
Toen verslaggever Jeroen Wollaars lucht kreeg van het spionageverhaal ontdekte hij al snel dat
ook de NOS zelf slachtoffer was van de cybercriminelen. Veertien computers van de NOS waren
besmet en de wachtwoorden van 35 medewerkers waren gelekt.
Een woordvoerder van het ministerie van Veiligheid en Justititie beweerde met grote stelligheid
dat er geen computers van de rijksoverheid waren besmet. In werkelijkheid waren er 57
computers van acht verschillende ministeries —waaronder die van Veiligheid & Justitie— door
het virus getroffen. Nadat dit bekend werd, probeerde Minister Opstelten van Veiligheid en
Justitie de burgers gerust te stellen: “Natuurlijk schrikken we daar van, maar we nemen ook de
maatregelen die genomen moeten worden. Wij weten wat we dan moeten doen”. Hij vond het
zelfs “plezierig” dat het NCSC zo “adequaat” had opgetreden [Vrij Nederland, 8.3.13]. Maar dat
was nu precies wat het NCSC niét had gedaan: adequaat optreden. Ook bij de NCSC zelf drong
dit besef langzamerhand door. Een paar dagen later kondige het NCSC aan dat zij samen met
de opsporings- en inlichtingenorganisaties (HCTU, AIVD en MIVD) een onderzoek zou instellen
naar deze spionagecampagne.
Met de informatie die gestolen werd van bijna alle Nederlandse bedrijven zouden alle vitale
infrastructuren op eenvoudige wijze kunnen worden gecyboteerd en zou het maatschappelijk
verkeer bijna volledig kunnen worden stilgelegd.
TeamViewer - TeamSpy
Een van de meest populaire programma's om op afstand op computers in te loggen is TeamViewer. Dit
programma brengt binnen enkele seconden over de hele wereld een verbinding tot stand met elke pc of server.
Meer dan 100 miljoen gebruikers vertrouwen op TeamViewer. Het wordt vooral gebruikt door
systeembeheerders die op afstand de controle over computers van cliënten kunnen overnemen om problemen
op te lossen.
In 2013 bleek dat TeamViewer al tien jaar lang misbruikt wordt om bedrijven, overheidsinstellingen en
activisten te bespioneren [CrySyS,20.3.13]. Dit gebeurt met de malware toolkit TeamSpy. De cyberaanvallers
kunnen via TeamViewer in real time meekijken wat er op de geïcteerde computer gebeurt. TeamViewer werd
gebruikt om bestanden te stelen en om andere kwaadaardige software te installeren [Security.nl, 21.3.13].
In haar jaarverslag over 2012 constateerde de AIVD dat er steeds vaker cyberaanvallen
worden uitgevoerd die een dreiging voor de nationale veiligheid vormen.
“De bedreigingen voor de nationale veiligheid hebben steeds vaker een digitale component.
Internettechnologie wordt op diverse manieren gebruikt om de nationale veiligheid te ondermijnen.
Kwetsbaarheden in computersystemen worden uitgebuit. Digitale aanvallen nemen in aantal, complexiteit en
impact toe.”
De conclusie van de AIVD is klip en klaar en goed onderbouwd: “Het versterken van de digitale
veiligheid in ons land is een van de grootste uitdagingen waar overheid en bedrijfsleven op dit
moment voor staan. Cybersecurity, digitale veiligheid, is essentieel om de Nederlandse
samenleving en economie draaiend te kunnen houden” [Jaarverslag 2012].
soms uitgevoerd door particuliere beveiligingsbedrijven. Offensief hacken wordt uitbesteed aan
aannemers die met speervissen achterdeurtjes openbreken om bedrijven en instellingen te
bespioneren.
Elektronische spionage verschilt in een opzicht nogal sterk van de spionage uit het pre-internet
tijdperk. Spionage is niet meer het passief afluisteren van een conversatie of het monitoren van
een communicatiekanaal. Cyberspionage betekent dat er actief wordt ingebroken op een
computernetwerk van een tegenstander en het installeren van kwaadaardige software die
ontworpen is om de controle over dat netwerk over te nemen. “Cyberspionage is een vorm van
cyberaanval. Het is een offensieve actie. Het schendt de soevereiniteit van een ander land”
[Schneier, 6.3.14]. In cyberspace is de scheidslijn tussen spionage en geheime militaire
operaties zeer vaag [Mueller 2012:8]. Er zou in ieder geval een duidelijk grens getrokken
moeten worden tussen cyberoperaties die alleen maar clandestien informatie opvangen zonder
het functioneren van computers en netwerken te verstoren, en operaties die het gepenetreerde
netwerk zodanig veranderen dat zij hun functionaliteit veranderen of blokkeren [Hathaway e.a.
2012; Lin 2012].
[Reuters, 7.8.14].
Bedrijfsspionage
Het is moelijk om de schade die door bedrijfsspionage wordt veroorzaakt enigszins nauwkeurig
te schatten. De meestal zeer voorzichtige AIVD suggereerde in haar jaarverslag 2013 “dat de
wereldwijde schade honderden miljarden euro’s bedraagt als gevolg van inkomstenderving,
verlies aan concurrentiepositie en banen, en door de kosten voor beveiligings- en
herstelmaatregelen.” Zolang dit soort suggesties niet worden onderbouwd, blijft het gissen. De
data die voor dergelijke schattingen worden gebruikt zijn gebrekkig, al is het alleen maar
doordat er lang niet altijd melding wordt gemaakt van digitale inbraken [in → Lastige
calculaties wordt dit nader uitgewerkt].
Commerci�le bedrijfsspionage
Commercieel geïnspireerde bedrijfsspionage wordt ingezet om concurrenten dwars te zitten.
Het is de voortzetting van ondernemerschap met illegale resp. criminele middelen.
Het door de NCSC gepubliceerde Cybersecuritybeeld [juni 2012] laat zien dat ook in Nederland
het aantal incidenten met spionage bij overheid en bedrijven toeneemt. In een brief van
minister Opstelten wordt in maart 2013 zelfs geconstateerd dat de ontwikkelingen op het
gebied van cyberspace zo snel gaan en feitelijke informatie over omvang, daders en
dadergroepen ontbreekt, dat cyberspionage de komende jaren een witte vlek zal zijn.
Vals spel
Ondernemingen kunnen ook meer drastische maatregelen nemen om hun concurrenten of publieke
tegenstanders aan te vallen. Een voorbeeld daarvan is de Nederlandse internetprovider Cyberbunker tegen de
spambestrijder Spamhaus. Deze in Zwitserland (Geneve) en Engeland (Londen) gevestigde Europese
vrijwilligersorganisatie had Cyberbunker op de zwarte lijst gezet. Op deze lijst staan de internetadressen van
spammers en van criminelen die met lokmails proberen om mensen geld af te troggelen of hun computers met
kwaadaardige software te besmetten. Spamhaus beschermt internetters door deze adressen door te spelen
naar netwerkbeheerders, die vervolgens alle e-mails afkomstig van die adressen automatisch blokkeren.
Dat was niet naar de zin van de Zeeuwse provider die zijn bullet proof servers aan iedereen verhuurt die er
belang bij heeft anoniem te blijven. Zijn clièntele heeft er groot belang bij dat hun actieradius op het internet
niet wordt beperkt door detectiesystemen die spam, fraude en malware buiten de deur houden. In maart 2013
sloeg Cyberbunker —waarschijnlijk in samenwerking met klanten uit Rusland en China— terug met felle en
massieve DDoS-aanvallen op Spamhaus. Om de effectiviteit van de DDoS-aanval te versterken richtten de
cyberaanvallers hun pijlen op het Domain Name System (DNS).
Door deze DNS-amplificatie aanval werden vanuit servers over de hele wereld omvangrijke datapakketten naar
het slachtoffer verstuurd (met een vuurkracht van 300 miljard bites per seconde). De aanvallen waren zo groot
dat ze voor het gehele internet ontwrichtend waren. Miljoenen internetgebruikers merkten dat het internet
langzamer werkte en dat sommige diensten (zoals de Amerikaanse tv-aanbieder Netflix) tijdelijk helemaal niet
bereikbaar waren. Ook het Nederlandse Surfnet, dat onderdak biedt aan enkele servers van Spamhaus, werd
getroffen. De aanvallen waren moeilijk te blokkeren, om dat die DNS-servers niet afgesloten kunnen worden
zonder het internet te blokkeren [Cloudflare, 20.3.13; Ars Technica, 31.3.13; Automatiseringsgids, 27.3.13].
Kern van probleem is dat veel grote internetproviders hun netwerken niet zo hebben opgezet dat zij er zeker
van zijn dat het verkeer dat hun netwerken verlaat daadwerkelijk van hun eigen gebruikers komt. Dit
beveiligingslek is al langer bekend, maar het is pas recent geëxploiteerd op een wijze die de infrastructuur van
het internet bedreigt.
De eigenaar en woordvoerder van Cyberbunker, Sven Olof Kamphuis, verklaarde trots dat dit
de grootste DDoS-aanval was die de wereld tot nu toe gezien heeft [NYT, 26.3.13]. Een dag
later kwam Kamphuis —die ook opereert onder de naam cb3rob— tot andere gedachten: hij ontkende elke
betrokkenheid van Cyberbunker bij deze grootste cyberaanval ooit [BNR, 27.3.13]. Volgens Spamhaus is de
aanval door Cyberbunker georganiseerd in samenwerking met criminele bendes uit Oost-Europa en Rusland.
Op haar website pocht Cyberbunker dat het al eerder doelwit van justitie is geweest. “De Nederlandse
autoriteiten en de politie hebben meerdere pogingen ondernomen om met geweld in de bunker te komen.
Maar geen van deze pogingen waren succesvol”. Cyberbunker is gevestigd in de oude NAVO-bunker in
Kloetinge (Zeeland). De nucleaire bunker werd vanaf 1955 gebruikt voor lokale spionage en contraspionage.
Achter de vijf meter dikke betonnen muren bevind zich een complex van vier etages. In 1996 werd de bunker
verkocht en werd in 1998 omgebouwd tot een veilige data haven met de naam Cyberbunker.
Volgens Arbord Networks, een bedrijf dat gespecialiseerd is in bescherming tegen DDoS-aanvallen is de aanval
van Cyberbunker de grootste aanval die zij ooit gezien hebben. “De grootste DDos-aanval die we eerder gezien
hebben was in 2010, met 100 Gbps (Gigabites per seconde). De sprong van 100 naar 300 is natuurlijk
behoorlijk massief” [Dan Holden, BBC, 27.3.13].
Het Openbaar Ministerie (OM) startte een strafrechtelijk onderzoek naar de massale aanvallen die vanuit de
Nederlandse Cyberbunker zouden worden uitgevoerd [ISPam, 27.3.13]. Het onderzoek wordt uitgevoerd door
Team High Tech Crime (THTC) van de landelijke politie. In Engeland werden vijf nationale afdelingen van de
cyberpolitie ingeschakeld om de aanvallen te onderzoeken [BBC, 27.3.13].
Na zijn arrestatie eiste de groep freecb3rob de vrijlating van Kamphuis. Zij dreigde ‘de grootste aanval ooit’ in
te zetten tegen Nederland als hij niet zou worden vrijgelaten [Pastebin, 26.4.13]. De groep verklaarde dat zij
al getest hadden hoe zwak de huidige veiligheid in Nederland is. Zij pochen dat zij erin zijn geslaagd om
binnen enkele minuten banken, luchthavens en zelfd DigiD plat te leggen. “You have been warned”.
Een dag later publiceerde freecbrob een lijst met 10 primaire doelwitten die zij in Nederland wil aanvallen.
Tegenmaatregelen
De DDoS-aanvallen die tussen 23 april en 11 mei op informatiesystemen van de overheid werden uitgevoerd
stimuleerde de Nederlandse regering om meer geld te investeren in het tegengaan van DDoS-aanvallen op
vitale netwerken. Minister Opstelten van Veiligheid en Justitie verklaarde dat het van groot belang is om “de
weerbaarheid tegen het het herstelvermogen na geslaagde DDoS-aanvallen te versterken” [MV&J, 14.5.13].
Het ministerie constateert nuchter dat DDoS-aanvallen een wereldwijd probleem vormen en dat iedereen die
diensten aanbiedt op het internhet hiervan slachtoffer kan worden. Ook de nationale overheid staat dagelijks
bloot aan grotere of kleinere cyberaanvallen die de bereikbaarheid van informatie en diensten blokkeert.
Er wordt vooral geïnvesteerd in het plaatsen van extra servercapaciteit en het versterken van de alertheid op
nieuwe cyberaanvallen. Het vergroten van de capaciteit van de diensten is een eerste logische stap op DDoS-
aanvallen minder effectief te maken. Bovendien worden er selectiemechanismen (filters) in de servers worden
ingebouwd waardoor het verkeer vanuit een DDoS-aanval gescheiden kan worden van regulier verkeer. In
noodgevallen zal bijvoorbeeld DigiD voor gebruikers in het buitenland tijdelijk worden afgesloten. Als ook dat
onvoldoende is zal de dienst preventief uit de lucht worden gehaald.
verantwoordelijkheid voor het verbeteren van die infrastructuur ligt echter bij die particuliere dienstverleners
zelf. De verantwoordelijkheid van het Ministerie wordt geconcretiseerd in het aanstellen van een officier die een
schakel vormt tussen het Nationaal Cyber Security Centrum (NCSC) en de Nederlandse banken.
Om de cyberveiligheid van Nederland te versterken werd het Nationaal Detectie en Response Netwerk versneld
opgebouwd. Een van de prioriteiten is een effectieve aanpak van de botnet warmee DDoS-aanvallen worden
uitgevoerd.
Anti-DDoS Wasstraat
Bij DDoS-aanvallen zijn internet aanbieders veelal direct of indirect het doelwit. De apparatuur of
abonnementen die nodig zijn om dergelijke aanvallen tegen te gaan zijn zeer kostbaar voor middelgrote en
kleinere ISP�s en hostingproviders. Hun klanten zijn niet per se bereid om (mee) te betalen voor een anti-
DDoS voorziening. Daaruit werd het idee geboren om een nationale anti-DDoS voorziening te ontwikkelen.
Het Project Nationale anti-DDoS Wasstraat (NaWas] is een privaat initiatief van een aantal providers die
verenigd zijn in de Nationale Beheersorganisatie Internet Providers (NBIP) om een gezamenlijke voorziening in
te richten om een overvloed aan verkeer te schonen. De anti-DDoS dienst werd op 28 maart 2014 geopend.
NaWas biedt op aanvraag beveiliging tegen DDoS-aanvallen voor middelgrote en kleinere ISP’s. Als een
netwerk van een provider onder een DD0S-aanval ligt, wordt het verkeer omgeleid naar een centraal
opgestelde hoeveelheid anti-DDoS apparatuur. De NaWas reinigt het verkeer van ‘onzin’ en stuurt het schone
verkeer over een apart VLAN van de NL-IX of AMS-IX naar de deelnemende provider terug.
Bedrijfsleiders van de meerderheid van de grote ondernemingen die een functie vervullen in de
kritische infrastructuren denken dat zij worden aangevallen of bespioneerd door politiek
gemotiveerde aanvallers [Symantic, CIP survey]. Bij bedrijfsspionage die door overheden wordt
georganiseerd, spelen strategische belangen een cruciale rol en kunnen zeer omvangrijke
aanvalsbronnen worden gemobiliseerd en ingezet. Het is het altijd lastig en meestal onmogelijk
om te achterhalen wélke overheid verantwoordelijk is voor welke vorm van cyberspionage.
Daarom is het in de regel onmogelijk om informatiediefstal toe te schrijven aan een bepaalde
nationale staat.
Dat is het probleem met de beruchte cyberspionage uit China. Voor bedrijfsspionnen is het
makkelijk om een server in een ander land te huren of om daarin ongemerkt in te breken om
deze als tussenschakel (proxy) te gebruiken. Chinese computers zijn vaak slecht beveiligd
omdat er vaak gewerkt wordt met gekraakte kopieën van reguliere software (zoals Windows)
waarbij alle updatefuncties zijn uitgeschakeld omdat anders illegaal gebruik kan worden
vastgesteld. Zonder deze updates vertoont de software allerlei beveiliginglekken die
gemakkelijk benut kunnen worden. De Chinese overheid ontkent —zoals gebruikelijk— elke
verantwoordelijkheid voor de cyberspionage op militaire en commerciële netwerken in de VS en
in Europa. Haar stelling is dat een derde van alle cyberspionage uit de VS komt en niet uit
China.
Het aantal incidenten van bedrijfsspionage via internet is enorm. De meest geavanceerde
voorbeelden van politiek-economisch gemotiveerde cyberspionage zijn Titan Rain, ShadyRat en
Operation Aurora. Het zijn slechts drie voorbeelden van een Advanced Persistent Threat (APT).
routers die fungeerden als het eerste verbindingspunt van een lokaal netwerk naar het
internet.
De hackende spionnen verstonden de kunst van het ongezien ontsnappen. Zij veegden hun
elektronische vingerafdrukken weg en lieten een bijna niet te vinden baken achter waarmee
zij desgewenst weer in de computers konden inbreken. De hele aanval duurde tussen de 10
en 30 minuten. De meeste hackers die een overheidsnetwerk binnendringen worden
opgewonden en maken fouten. “Maar dat gebeurde niet bij deze gasten. Zij sloegen nooit
een verkeerde toets aan” [Time, 29.8.05].
Titan Rain. Zij verklaarde dat de beschuldigingen over cyberspionage totaal ongegrond en
onverantwoordelijk waren en te onwaardig om te weerleggen.
Feit was dat onbevoegde buitenstanders in staat waren om zeer vitale informatie te
vervreemden van organisaties, instellingen en bedrijven die meenden zeer goed beveiligd te
zijn tegen inbraken op de eigen computersystemen en netwerken. Maar juist bij die zo
schijnbaar goed beschermde systemen konden de hackers strategisch belangrijke informatie
stelen, zoals de software die het Amerikaanse leger gebruikt voor vluchtplanning.
Via de e-mail werd het virus verzonden dat deze operatie uitvoerde. Medewerkers van de
doelorganisatie kregen een lokmail van een schijnbare collega met een vertrouwd thema als
onderwerp (‘Recruitment Plan’). Zodra zij op dit bericht klikten, werd het aangehechte Excel
bestand gedownload. De spyware die daarin verborgen was, stelde de hackers in staat om
het geïnfecteerde computernetwerk te plunderen.
van de RSA, de SecurID kraken. Jarenlang was [Bilge/Dumitras 2012; Washiongton Post - Special
report: Zero Day].
deze beveiligingssleutel gebruikt door de
Als bij een cyberaanval daadwerkelijk gebruik
meeste Amerikaanse inlichtingendiensten, gemaakt wordt van een gat in de beveiliging
militaire eenheden, wapenleveranciers, spreekt men van een zero-day exploit. Een
«nuldagenaanval» start op of vóór de eerste dag
ambtenaren van het Witte Huis en Fortune 500
waarop de ontwikkkelaar zich bewust is van het
directeuren. Al deze instellingen waren door beveiligingslek.
RSA voorzien van de tot dan toe beste vorm van beveiliging. In totaal circuleerden er 25
miljoen van deze beveiligingssleutels en 70 procent van de meest vitale instellingen waren
met SecurID beveiligd.
De schrik was groot toen RSA in maart 2011 in een open brief aan haar klanten
aankondigde dat het beveiligingssysteem van het bedrijf te maken had met “een extreem
geavanceerde cyberaanval” die ertoe geleid had dat er informatie was gestolen van RSA-
systemen.
Gezien de investeringen en de tijd die de aanval heeft gekost, meent RSA dat de aanval van
een land afkomstig moet zijn. De president van RSA, Thomas Heiser, verklaarde: “Het was
uitstekend gepland, met lange voorbereidingstijd en hoge kwaliteit. Ze wisten precies wat ze
zochten en waar wat op het netwerk te vinden was.” Volgens Heiser kwam de aanval van
een land, maar is niet meer te achterhalen welk land dat was [Webwereld, 12.10.11].
We hebben gezien dat virtuele aanvallen via servers over de hele wereld kunnen worden
georkestreerd en dat het daarom bijna onmogelijk is om een inbraak met zekerheid aan
iemand toe te kunnen schrijven. Alle nationale overheden hebben inlichtingendiensten die
gebruik maken van programma’s om via het internet vitale instellingen van andere staten te
bespioneren.
Bij cyberspionage weet niemand of een aanval is uitgevoerd op bevel van een vijandige
staat, een rebellerende fractie in de eigen staat, een terroristische organisatie of een
crimineel syndicaat. Soms voeren politieke en militaire autoriteiten de aanvallen zelf uit.
Maar ze kunnen ook oogluikend toezien dat patriottische hackers hun aartsvijanden relatief
ongestoord kunnen aanvallen, of ze kunnen dergelijke initiatieven steunen of zelf
ensceneren. Al deze opties behoren tegenwoordig tot het standaardrepertoire van de
cyberstrategen.
PoisonIvy te paard
In 2011 werd een spervuur van cyberaanvallen geopend op tenminste 50 chemiebedrijven. Daarbij werd
ook de Franse nucleaire multinational Areva gehackt [Webwereld, 1.12.11]. De aanval was gericht op het
verwerven van bedrijfsgeheimen zoals chemische formules, recepten en documenten over
fabricagetechnieken [Symantec 2011].
Ook in deze gevallen drongen de cyberspionnen de computernetwerken binnen via een e-mail dat
schijnbaar afkomstig was van de systeembeheerder, een bekende collega of leidinggevende, maar die met
een Trojaans paard geladen was. Het als bijlage toegevoegde PoisonIvy zet op de pc een achterdeur open
en legt contact met een command & control server. Met deze techniek werd de rest van het netwerk in
kaart gebracht om zo bedrijfsgevoelige informatie te stelen. De aanval werd uitgevoerd door een virtuele
private server (VPS) in de V.S. die door iemand uit China was gehuurd. Ook hier wezen de meeste vingers
in de richting van China, maar ontkende de regering in Peking krachtig elke vorm betrokkenheid bij deze
bedrijfsspionage.
De aanvallers hadden waarschijnlijk twee jaar lang toegang tot verschillende computers van het France
nucleaire concern Areva. Areva is een van de grootste nucleaire ondernemingen ter wereld. Het exploiteert
uraniummijnbouw, kerncentrales, opwerkfabrieken en verwerking van kernafval, maar is ook actief op het
gebied van hernieuwbare energie.
Bij vergelijkbare spionageacties in Japan werden defensiegeheimen van Mitsubishi gestolen: ontwerpen van
het nieuwste wapentuig, militaire vliegtuigen, onderzeeërs en kerncentrales. Op tien verschillende locaties
van Mitshubishi werden maar liefst 45 servers en 38 pc’s gecompromitteerd. Voor deze grootschalige
aanvallen werden minstens acht verschillende soorten malware gebruikt [E-week; BBC,20.9.11]. Ook
netwerken van ministeries en het parlement, negen Japanse ambassades (waaronder die in Den Haag)
werden gecompromitteerd [Webwereld, 26.10.11].
Ook hier wijzen de vingers naar China [AFP, 25 oktober 2011]. Niet alleen bedrijfsgeheimen, maar ook
staatsgeheime informatie werd gestolen. Hoewel Mitshubishi beweerde dat er geen vertrouwelijke of
gevoelige informatie was weggelekt stelde het Japanse ministerie van Defensie toch een diepgravend
onderzoek in [Volkskrant, 20.9.11].
Het besef van het gevaar van cyberspionage begon pas goed door te dringen toen Google
op 12 januari 2010 begon te praten over Operation Aurora. Aurora werd ontdekt door het
cyberbeveiligingsbedrijf McAfee.
Bij nader inzien bleken de aanvallen op Google echter onderdeel te zijn van een goed
georkestreerd en omvattend gecoördineerd spionageprogramma. De veiligheidslekken in e-
mail bijlagen van Gmail werden geëxploiteerd om heimelijk toegang te krijgen tot
netwerken van belangrijke financiële, militaire en technologische bedrijven en
onderzoeksinstellingen in de Verenigde Staten [Washington Post, 14.01.10]. Daarbij
behoorden interessante doelwitten als Adobe, Juniper Networks, Rackspace, Yahoo,
Symantec, Northrop Grumman, Google, Morgan Stanley en Dow Chemical.
De aanvallers maakten gebruik van een oude en inmiddels bekende krijgslist. De doelwitten
ontvingen een lokmail van die afkomstig leek te zijn van iemand die zij goed kenden en
waarvan zij geen kwaadaardige virussen of wormen verwachten. Het slachtoffer opent de
bijlage bij de e-mail die een kwaadaardig programma bevat dat zich in zijn computer
nestelt. Vanaf afstand krijgt de aanvaller toegang tot de e-mail van het slachtoffer, kan
vertrouwelijke documenten naar een specifiek adres versturen of de webcam of microfoon
aanzetten om vast te leggen wat er in de kamer van de gebruiker gebeurt. Die gebruiker
heeft geen flauw benul dat hij het doelwit is van een spionage activiteit, van een
cyberexploitatie.
toonaarden dat zij iets met deze cyberoperaties te maken hadden: “Wij ondersteunen geen
hackers en onze cyberoorlogsstrategie is zuiver defensief”. De woordvoerder van het
ministerie van Buitenlandse Zaken stapte in de slachtofferrol en benadrukte dat ook Chinese
netwerken door hackers werden aangevallen [ChinaDaily, 3.6.11]. Het is weliswaar
makkelijk om het IP-adres van de hackers te lokaliseren, maar het is veel lastiger om te
bepalen waar de hackers daadwerkelijk vandaan komen. Met ongefundeerde verwijten dat
Chinese hackers achter de cyberaanvallen zitten, worden volgens de Chinese overheid alleen
maar obstakels opgeworpen voor het versterken van vertrouwen tussen ‘stakeholders in
cyberspace’ en wordt de samenwerking tussen Zie voor verdere analyse van Operation Aurora:
Wikipedia: Operation Aurora en de video:
overheden gefrustreerd [ChinaDaily, 4.6.11].
Operation Aurora (Google vs. China) Explained.
De voordelen van economische gemotiveerde cyberspionage liggen voor de hand: men kan
besparen op zeer omvangrijke investeringen onderzoek en productontwikkeling en men wordt
sneller rijp voor de wereldmarkt. Landen met een relatief lage graad van informatisering
hebben hierbij veel te winnen, terwijl de hightech landen veel te verliezen hebben [Gacken
2012:112]. In hoeverre nationale staten (regeringen, ministeries, hooggeplaatste politici en
ambtenaren) betrokken zijn bij bedrijfsspionage in cyberspace blijft in bijna alle gevallen in het
duister.
de besmette machines gecodeerde opdrachten van de aanvallers. Door gebruik te maken van
bepaalde communicatietechnieken —zoals de micro-bloggingdienst Plurk of Twitter— zorgt de
malware ervoor dat het lijkt alsof de besmette machines een veel gebruikte en betrouwbare
website bezoeken. In het netwerkverkeer ziet de kwaadaardige software er onschuldig uit: zij
gedraagt zich netjes en lijkt alleen vriendelijke sites te bezoeken [Stewart 2012].
In een nieuwe variant van Zeusbot/SpyEye wordt helemaal geen gebruik meer gemaakt van
een command-and-control server, waardoor de botnet nog moeilijker is te bestrijden. De
Zeusbot/Spyeye variant maakt gebruik van de architectuur van een peer-to-peer netwerk
(P2P). Het P2P-netwerk stelt de botnet in staat om actief te blijven en informatie te verzamelen
zelfs als delen van het netwerk afgesloten zijn [Lelli 2012].
Alle belangrijke gegevens over een geplande overname van het Chinese bedrijf Huiyuan Juice Group werden
gestolen. Dit zou de grootste overname ooit van een Chinees bedrijf zijn, ter waarde van $2,4 miljard. Drie
dagen na de ontdekking van de hack werd de bedrijfsovername afgeblazen. Pas drie jaar later werd dit incident
bekend. Het vermoeden is dat deze operatie door de Chinese overheid was uitgevoerd, maar daarvan is geen
enkele bewijs [Bloomberg, 5.11.12].
Het feit dat Coca Cola besloot geen ruchtbaarheid te geven aan deze hack onderstreept nog eens de weerzin
die ondernemingen hebben om hun beveiligingsfouten toe te geven. Ondanks het feit dat de Amerikaanse SEC
(Securities and Exchange Commission) in haar richtlijnen aangeeft dat het in het belang van de bedrijven is
om dit wel te doen.
Veel andere incidenten van bedrijfsspionage worden ook verzwegen. De cyberinbraak op het Britse
energiebedrijf BG Group Plc in 2011 werd nooit publiek gemaakt. Daar werd informatie gestolen over
geografische kaarten en gegevens over gasboringen. Naar schatting heeft dit bedrijf een verlies geleden van
$1,2 miljard, als gevolg van nadelen bij contractuele onderhandelingen.
Hetzelfde gebeurde bij Chesapeake Energy, de op een na grootste gasproducent in de VS Bij de in Luxemburg
gevestigde staalproducent ArcelorMittal werd ingebroken bij Sudhir Maheshwari, die verantwoordelijk is voor
De dader ligt meestal op het virtuele kerkhof. Zelden wordt duidelijk wie er precies hebben
aangevallen, uit welk land zij komen, of in welke mate daar overheden bij betrokken zijn. De
enige vuistregel die hierbij gehanteerd kan worden is dat criminelen meestal werken met de
kleinst mogelijke inspanningen; meer ingewikkelde, meerzijdige en tijd- en geldkostende
aanvallen kunnen een indicatie zijn dat er een staat of overheidsinstelling bij de aanval
betrokken is.
Een vergelijkbaar probleem doet zich voor bij de vraag wát er wordt gestolen. Bij
bedrijfsspionage is het vaak lastig om vast te stellen welke informatie er precies is gestolen. De
informatie wordt immers niet zomaar gestolen (er verdwijnen geen documenten), maar
gekopieerd en/of gedownload. De informatie is op de plek van oorsprong niet verdwenen. Zelfs
al heeft men een duidelijk idee naar welke gevoelige informatie de crackers op zoek waren, dan
weet men na een geslaagde aanval niet precies welke onderdelen daarvan daadwerkelijk
vervreemd zijn.
Zolang het onduidelijk of niet zeker is wie er achter een ontdekt geval van bedrijfsspionage
schuil gaan en welke informatie is gestolen, blijft het speculeren over wat het doel van de
aanval was. Waarom werd er zoveel energie besteed aan het binnendringen van het netwerk
van die specifieke onderneming?
Meestal is het echter niet moeilijk om te raden waar cyberspionnen op uit zijn. Vaak zijn dat de
bedrijfsgeheimen die een onderneming in staat stellen om succesvol op de wereldmarkt te
opereren (gepatenteerde producten, fabricageprocedures, productontwerpen, recepten e.d.).
Soms gaat het om specifiek conjuncturele informatie zoals offertes voor zeer grote orders. Heel
vaak gaat het om het verwerven van illegale toegang tot de financiële bronnen van een
onderneming. In de meest kritieke gevallen gaat het om bedrijfsgeheimen die een grote
politiek-strategische waarde hebben, zoals bouwtekenen en constructieplannen voor
onderzeeërs, jachtvliegtuigen, raketsystemen en kerncentrales. In de organisatie van
Spioneren in de wolken
Het midden- en kleinbedrijf is minder goed beveiligd dan grote ondernemingen. Kleinere
bedrijven hebben te weinig middelen om een degelijke bescherming van computers en
bedrijfsnetwerken op te bouwen. Juist daarom zijn kleine en middenbedrijven die zich
bezighouden met onderzoek en ontwikkeling uitgelezen doelen voor cyberspionnen. Zij zijn een
gemakkelijke prooi waarbij tegen geringe kosten vaak genoeg interessante en bruikbare
informatie gestolen kan worden.
Duitse studies hebben laten zien dat meer dan 3/4 van alle cyberspionnen juist dergelijke
kleine en middenondernemingen in het vizier hebben en dat de aanvallen ook met vermeende
statelijke achtergrond worden opgezet [Gaycken 2012:114]. Zeer vaak worden
spionagenetwerken ontdekt die in meerdere bedrijfssectoren en staten op gelijksoortige wijze
opereren. Zoals we eerder gezien hebben vergroot dat weer het risico van ontdekking en
daarmee de inefficiëntie van hetzelfde aanvalsscenario op andere plekken.
Werken in de wolken
Cloud computing is een op internet (de ‘wolk’) gebaseerd model van systeemarchitectuur, waarbij vooral
gebruik wordt gemaakt van Software as a Service (SaaS), Platform as a Service (PaaS), en Infrastructure as a
Service (IaaS). Wolkvoorzieningen zijn een gemeenschappelijk depot van gevirtualiseerde computerdiensten
waarmee gebruikers toegang te krijgen tot programma’s en data in een webgebaseerde omgeving. Zolang de
gebruiker toegang heeft tot het internet is de wolkdienst altijd beschikbaar — zonder tussenkomst van derden.
De wolkomgeving groeit mee of krimpt in al naar gelang de behoeften van de gebruiker en is dus volledig
schaalbaar. Bovendien wordt alleen betaald voor feitelijk gebruik van de wolkdiensten (pay for use). Door
centralisatie van virtuele infrastructuren kan een directe kostenbesparing van 15 tot 20% worden bereikt ten
opzicht van traditionele oplossingen. De virtualisatie van de eigen infrastructuren biedt een beveiligde
oplossing voor gedistribueerd telewerken.
Het meest bekende type wolkmodel is de publieke wolk. In dit model biedt de wolkprovider voor bedrijven en
particulieren alle applicaties, dataopslag en infrastructuur via het internet aan. De programma’s en data zijn
voor personeelsleden vanaf diverse locaties toegankelijk, ongeacht de hardware platforms die zij gebruiken.
Alle informatie en alle software staan volledig op de servers van de externe dienstverlener. Voor alle afnemers
wordt een generieke functionaliteit aangeboden.
Het tweede type wolkmodel is de particuliere wolk. In dit model opereert de it-afdeling van een organisatie
als de leverancier van diensten voor interne bedrijfsklanten. Alles wordt intern opgeslagen en beheerd, waarbij
alleen de backups van data extern worden opgeslagen. Dit model is populair bij bedrijven die meer controle
willen houden over hun infrastructuur en die meer vertrouwen hebben in hun interne it-afdelingen dan in een
externe voorziening. De verantwoordelijkheid voor het onderhoud van de particuliere wolk ligt bij een
professionele leverancier van ict-diensten. De fysieke locatie van de componenten van de ic-infrastructuur kan
zowel een wolkleverancier zijn als de organisatie zelf.
In het derde model, de hybride wolk, convergeren de publieke en de particuliere wolk, terwijl ze tegelijkertijd
effectief gescheiden blijven. Daarbij wordt bijvoorbeeld een externe opslagwolk gebruikt voor het archiveren
van bestanden die niet meer actief gebruikt worden, terwijl de actuele financiële informatie op een interne
wolk wordt opgeslagen waardoor de veiligheid strakker en veiliger beheerd kan worden.
Een goed beveiligde informatiewolk kan voor ondernemingen een relatief beveiligingsvoordeel
opleveren. Grote aanbieders van wolkdiensten bieden vaak een hoogwaardige it-beveiliging die
veel ondernemingen zich niet kunnen veroorloven. Vanuit de optiek van cyberspionage kleven
er echter ook een paar zwakke punten aan het ‘gewolk’:
Ten eerste moeten kleine, midden- en grote ondernemers veel vertrouwen stellen in een
specifieke aanbieder van de wolkvoorziening (cloud providers). De meeste directeuren en
managers kunnen immers niet echt goed beoordelen hoe sterk en betrouwbaar de
beveiligingsmaatregelen van deze aanbieder (die vaak aan de andere kant van de aardbol is
gevestigd) werkelijk zijn en of de meer of minder vertrouwelijke informatie ook werkelijk op
de aangegeven wijze wordt opgeslagen, beschermd en niet aan derden verkocht.
Het uitbesteden van diensten die vertrouwelijke informatie betreffen brengt dus specifieke
risico’s met zich mee. Ondernemingen en instellingen die hun ict-infrastructuren
Afwegingen maken
Hoe beslis je of het gebruik van wolkvoorzieningen
geschikt is voor een organisatie of onderneming? Bij
deze beslissing moet zowel in kaart worden gebracht
wat de bedrijfsmatige gevolgen zijn voor arbeids-,
organisatie-, communicatie- en beheersprocessen
als wat die ondernemingsmatige gevolgen zijn voor
monetaire en personele kosten en baten. Een
eenmaal doorgevoerde uitbesteding is in de praktijk
moeilijk omkeerbaar. Daardoor kunnen problemen
ontstaan zoals afhankelijkheid van de dienstverlener,
risico van kwaliteitsverlies bij opdrachtnemer, verlies
van know how en technologische afhankelijkheid.
Wolkaanbieders hebben een cruciaal belang bij de veiligheid van de data die zij beheren.
Zodra een wolkvoorziening gekraakt wordt door kwaadwillende buitenstaanders betekent dit
het einde van deze onderneming. Toch zijn ook wolkaanbieders niet bestand tegen fouten in
de configuratie van de beveiliging, tegen daders van binnenuit, of tegen zeer goed getrainde
en creatieve aanvallers. Voor de gebruikers van de wolkvoorziening is daarbij altijd de vraag
of de aanbieders van de dienst wel melding maken van een wolkinbraak.
Uitbesteding van it-beveiliging door het inhuren van een wolkvoorziening helpt om kleine
criminelen buiten de deur te houden, maar is ook een aantrekkelijke uitnodiging voor
gekwalificeerde en behendige aanvallers. Zij hoeven niet telkens in verschillende
ondernemingen in te breken om een veelvoud van verschillende informaties te verwerven. De
aanvaller hoeft slechts één keer in te breken. Professionele cyberspionnen worden hierdoor
aangetrokken en hebben goede kansen om zeer waardevolle informatie te stelen. Wie al zijn
kroonjuwelen en geheimen toevertrouwd aan een virtuele wolk, behaalt daarmee dus niet
zonder meer een beveiligingsvoordeel.
In haar Jaarverslag 2012 formuleerde de AIVD dit risico als volgt. “Het toenemend gebruik van
online-diensten voor de creatie, uitwisseling of opslag van gegevens (in the cloud) vergroot het
risico van digitale spionage door andere staten. In korte tijd kunnen zij op veel verschillende
Ook in Nederland zijn buitenlandse spionagediensten “Als ik Coca Cola was, zou ik mijn recept niet
actief bezig met het verzamelen van inlichtingen. Uit opslaan in de cloud. Cloud-aanbieders hebben
doorgaans de veiligheid goed op orde, maar er
de kwetsbaarheidsanalyse van de AIVD [2010] blijkt
zijn potenti�el grote risico�s verbonden aan
dat gevoelige informatie in systemen kwets-baar het extern opslaan van gegegevens. We zien
vooral Oost-Europese en Aziatische
wordt door de toenemende verwevenheid en
misdaadorganisa-ties die het hebben gemunt
complexiteit van computersystemen en het koppelen op bedrijfsgegevens en bijvoorbeeld
wachtwoorden. En het zou zelfs kunnen dat
van systemen voor opslag van gegevens. Ook het
sommige overheden zich er schuldig aan
uitbesteden van activiteiten als systeem- en maken” [Troels Oerting, Directeur van het
European Cybercrime Centra van Europol, in
serverbeheer, datawarehousing en
Elsevier, 1.3.13].
gegevensverwerking brengt spionagerisico’s met
zich mee. Bij cloudcomputing en datawolken zijn deze risico’s nog veel groter.
Cloudcomputing maakt de opsporing van misdadigers nog moeilijker. De volgens Europol meer
dan 6.000 misdaadgroepen in Europa maken steeds meer gebruik van de meest geavanceerde
technologische middelen. Net als hun slachtoffers slaan zij hun data verspreid op in de
wolkvoorzieningen [Europol,mrt 2013; Security.nl, 20.3.13]. De technieken van digitale
opsporingsdiensten lopen ook op dit punt ver achter.
Internationale perikelen
Het virtualiseren en centraliseren van organisationele ict-voorzieningen biedt veel voordelen: schaalbaarheid,
elasticiteit, hoge prestatie, veerkracht (herstelvermogen), beveiliging en kostenefficiëntie. We hebben er al op
gewezen dat er risico’s verbonden zijn aan het uit handen geven van vertrouwelijke gegevens. De kern van de
kwestie is controle. Wanneer de betreffende gegevens niet meer binnen de eigen organisatie worden
vastgelegd en beheerd, wordt enerzijds het risico van interne manipulatie, vervreemding of misbruik
verminderd. Anderzijds worden door externe opslag juist de risico’s vergroot.
Data die herleidbaar zijn tot individuen is de privacywetgeving van toepassing. Volgens de wet- en regelgeving
in de Europese Unie mogen persoonsgegeven niet buiten Europa worden opgeslagen, tenzij het land waar die
data heen gaan hetzelfde niveau van beveiliging heeft. De Europese commissie bepaalt of dit het geval is.
aangetoond dat Amerikaanse bedrijven claimen lid te zijn van de niet alle organisaties die dit logo voeren
voldoen daadwerkelijk aan de formele Safe
Safe Harbor terwijl zij dat niet (of niet meer) zijn. Europese Harbor-eisen. Sommige bedrijven maken
burgers, bedrijven en instellingen lopen dus een groot risico dat gewoon hun eigen zegels van
betrouwbaarheid en plaatsen die op hun
zij door deze claims worden misleid [Connolly 2008].
websites, onderzoeken, emails etc.
Het College Bescherming Persoonsgegevens (CBP) vindt de garanties die Amerikaanse clouddiensten (zoals
Google, Dropbox en Microsoft) ten aanzien van de bescherming van Europese persoonsgegevens bieden nogal
dun. Het Safe Harbor-certificaat is een vorm van zelfcertificering die niet garandeert dat de verwerking van de
gegevens in de VS zelf voldoet aan Europese richtlijnen. De door de Nederlandse regering gewenste meldplicht
voor datalekken in bij clouddiensten is alleen te realiseren als daarover heldere afspraken worden gemaakt
met de cloudleverancier en eventuele sub-bewerkers die worden ingeschakeld om bijvoorbeeld opslag of
beheer te verzorgen [CBP, Zienswijze over cloud computing; Binnenlandsbestuur, 12.9.12].
De Patriot Act is gericht op het bestrijden van terrorisme en kent de Amerikaanse overheid vergaande
bevoegdheden toe op het gebied van forensisch onderzoek. Amerikaanse organisaties en bedrijven zijn
verplicht om toegang te verlenen tot hun servers en netwerken. Ook bedrijfsonderdelen buiten het
Amerikaanse grondgebied moeten medewerking verlenen aan dergelijk onderzoek. In de praktijk betekent dit
dat Amerikaanse wolkleveranciers nooit kunnen garanderen dat gegevens van Europese bedrijven en
instellingen niet door Amerikaanse overheidsdiensten gecontroleerd zullen worden. Op 26 mei 2011 tekende
Barack Obama een verlenging voor vier jaar van drie belangrijke onderdelen van de oorspronkelijke Patriot
Act.
De methoden en technieken die deze actoren gebruiken zijn verschillend, maar hebben ��n
ding gemeen: zij verhullen altijd hun eigen identiteit om de pakkans te verkleinen. Daarom is
het in de praktijk zeer lastig om te bepalen of een bepaalde cyberoperatie wordt uitgevoerd
door individuele crackers, criminele syndicaten, terroristische organisaties of door nationale
overheden, of door een combinatie van deze elementen.
kunnen leiden tot de identificatie van de daders. Bij politiek gemoti�veer�de cyberaanvallen
op bank- en beurssystemen gebeurt hetzelfde.
De schade door fraude met internetbankieren daalde Schade fraude betalingsverkeer in mln €
miljoen euro. Dat was 52% minder dan in de eerste De schadebedragen zijn nog steeds imponerend.
Maar het aantal transacties waarbij geld verdwijnt, is
zes maanden van 2011, toen deze schade 24,7 procentueel erg klein. Per jaar vinden ongeveer drie
miljard transacties plaats via internetbankieren,
miljoen bedroeg. Deze daling is het gevolg van het waarbij ongeveer 3,2 biljoen euro wordt
overgemaakt. Bij slechts 0,0001 procent van de
feit dat banken het betalingsverkeer veel transacties wordt fraude gepleegd. Volgens de
Nederlandse Vereniging van Banken (NVB) is dit het
bewijs dat het betalingsverkeer in Nederland veilig
nauwlettender in de gaten houden. Hierdoor worden
is.
verdachte transacties veel sneller opgemerkt dan
voorheen. De daling van de fraude met internetbankieren is deels ook toe te schrijven aan de
oprichting in 2011 van de Electronic Crimes Task Force (ECTF), waarin banken samenwerken
met het Openbaar Ministerie en politie. (in eerste instantie ondergebracht bij het KLPD, sinds 1
januari 2013 bij de nationale recherche). Bovendien zijn consumenten zich ook meer bewust
van de methoden die criminelen gebruiken om te frauderen.
Ook het skimmen vertoonde in de tweede helft van 2012 een sterke daling (41%). Dit is vooral
het gevolg van de invoering van de EMV-chip waarvan de magneetstrip niet meer te kopiëren is
(‘het nieuwe pinnen’). Door introductie van het geoblocking kan de pinpas buiten Europa niet
worden gebruikt, tenzij de eigenaar van de pas dit expliciet toestaat [NVB,2.4.13].
Ook uit de cijfers van de NVB blijkt dat de focus van internetfraudeurs verschuift van het
hengelen naar vertrouwelijke gegevens (phishing), naar de ontwikkeling van malware waarbij
criminelen speciale software schrijven om computers te infiltreren. Voor cybercriminelen is er
een ruim aanbod van kwaadaardige software waarmee bankrekeningen geplunderd kunnen
worden. Voorbeelden van deze banking trojans zijn: Tatanga, Feodo, Carberp, Citadel (Dorifel),
Mebroot, SpyEye en Zeus.
Zeus
«Zeus» —ook bekend als ZeuS of Zbot— is
een Trojaans paard dat gebruikt kan worden
om meerdere illegale activiteiten uit te
voeren: versturen van spam, deelname aan
DDoS-aanvallen, verzamelen van
persoonsgegevens (‘credentials’) voor online
diensten, inclusief bancaire diensten. De
diverse botnets van Zeus compromitteerden
miljoenen computers in 196 landen (vooral in
Egypte, de VS, Mexico, Saoedi-Arabië en Turkije). In de criminele wereld wordt Zeus verkocht
voor $3.000-4.000. Bij criminelen die gespecialiseerd zijn in financiële fraude is Zeus zeer
populair.
Zeus steelt informatie die in http-formulieren wordt ingevoerd, accountgegevens die zijn
opgeslagen in de Windows Protected Storage, en certificaten van FTP en POP abonnementen.
Het modificeert HTML-pagina’s van websites, zoekt naar bestanden en uploadt deze, wijzigt
bestanden van lokale gastheren, en vernietigt cruciale registratiesleutels [Secureworks,
11.3.10].
Zeus is voorzien van een KOS-commando (Kill Operating System) waarmee essentiële
computerbestanden worden vernietigd waardoor de computers onbruikbaar worden. De
aanvallers verminken de PC met opzet zodat ze meer tijd krijgen om de bankrekeningen te
plunderen. De rovers hebben die tijd nodig om met de gestolen inlogggevens de bankrekening
te plunderen en het geld naar verschillende katvangers over te maken. Slachtoffers zijn niet
meer in staat online hun bankrekening te blokkeren of malafide transacties terug te draaien.
588
Zeus is eenvoudig te gebruiken, makkelijk verkrijgbaar en zeer effectief. Ze wordt daarom wel
“de koning van de botnets” genoemd. Zeus is een intelligent geconstrueerd Trojaans paard dat
er telkens weer in slaagt om beveiligingsmaatregelen en detectie te omzeilen.
Aanvankelijk infecteerde Zeus alleen Windows computers die FireFox en Internet Explorer
gebruiken als webbrowser. Het criminele paard kan inmiddels ook andere besturingssystemen
en browsers besmetten.
Sinds de broncode van Zeus in 2011 werd gelekt, lijkt elke nieuwe criminele code om
bankrekeningen te plunderen gebruik te maken van de basismodules en constructieprincipes
van Zeus.
Door het succes van Zeus verschenen er talloze copycats die Zeus probeerden te imiteren. In
concurrenten zoals SpyEye (Eyebots) is een «kill Zeus» optie ingebouwd waardoor Zeus-bots
kunnen worden overgenomen. Dit leidde tot een botnetoorlog [eWeek, 17.2.11]. Criminele
groepen vechten hun onderlinge strijd uit door het kapen van elkaars botnets.
De maker van de Zeus malware (een Russische hacker die opereert onder de naam ‘Slavik’ en ‘Monstr’)
droeg in 2010 de verantwoordelijkheid voor zijn code over aan de auteur van SpyEye, de Zwitser Roman
H�ssy [Krebsonline, 10.10.10; ThreatPost, 9.11.10].
Eind 2011 verscheen een geheel nieuw platform voor botnets op de markt dat gebaseerd was
op de broncode van Zeus: Citadel. Voor ongeveer € 2.000 was het platform te koop, inclusief
handleiding, licentie-overeenkomst, release notes en toegang tot een forum voor
ontwikkelaars. Citadel is een open source platform waarbij gebruikers suggesties kunnen doen
om functies toe te voegen of te perfectioneren. Met gewone meerderheid wordt gestemd over
voorstellen voor nieuwe functies en modules [Threatpost, 8.2.12] Webwereld, 17.2.12;
Security.n;l, 10.8.12; Webwereld, 15.08.12].
Man-in-the-browser (MiTB of MIB) is een computeraanval waarbij een Trojaans paard een webbrowser
infecteert om tijdens het internetbankieren webpagina’s te veranderen of zelfstandig transacties uit te voeren.
Gebruikers merken daar meestal niet van om zij zich op de echte website van de aanbieder bevinden, correct
zijningelogd en de ongewenste transacties er voor hen uitzien als normale transacties. Maar de bank ontvangt
andere instructies met een ander rekeningnummer als begunstigde. Trojaanse paarden die deze aanvalsvorm
gebruiken, zijn onder meer Agent.DBJP, Bugat, Carberp, ChromeInject, Clampi, Gozi, Nuklus, OddJob en
Citadel.
Keyloggers registeren de toetsen die op een toetsenbord worden aangeslagen. Maar zij registeren niet de
teksten die ineen formulier of die worden inteypt op een virtueel toetsenbord. Hetzelfde geldt voor
gebruikersnamen en wachtwoorden die automatisch worden ingevuld.
Form Grabbing is een aanvalsmethodiek waardoor authorisatie- en inloggegevens van een webformulier
worden opgevist voordat zij via internet naar een veilige server worden overgedragen. De bankgegevens van
de slachtoffers worden ook geregisteerd wanneer zij gebruik maken van een virtueel toetsenbord, auto-fill of
van copy-and-paste.
Om minder snel op te vallen is de malware inmiddels aangepast en is er voor een eenvoudigere aanpak
gekozen. Wanneer gebruikers op hun online bankrekening inloggen, krijgen zij een valse webpagina te zien die
erg lijkt op de officiële bankpagina. Als de gebruiker op deze neppagina zijn inloggegevens invult, worden die
naar de cybercriminelen doorgestuurd. De gebruiker krijgt een foutmelding te zien dat internetbankieren
tijdelijk onbereikbaar is” [Security.nl, 11.2.13].
Met deze tactiek bereikt de gebruiker nooit de inlogpagina van de bank. Zo wordt voorkomen dat de
verdedigingssystemen van de bank de malware detecteren en de fraude identificeren.
Een voorbeeld daarvan is Neverquest, een nieuwere versie van de Gozi Trojan die verantwoordelijk was voor
het stelen van miljoenen euro’s van bankrekeningen van slachtoffers [ThreatPost, 4.9.14].
Net als Zeus is ook Neverquest op de zwarte markt te koop. Maar anders dan met Zeus zijn er voor de
bediening van Neverquest geen gekwalificeerde controleurs nodig. Het criminele kind kan hier de malafide was
doen [TechRepublic, 30.12.14].
Vandalistische hackers
De aanval kan een kwajongensstreek van hobbyistische hackers zijn, een hinderlijke
treiteractie van digitale vandalen. Zij veroorzaken een kortstondige pain in the ass, maar
richten minimale (maar daarom niet verwaarloosbare) schade aan. Het opzetten van een
DDoS-aanval is relatief eenvoudig. Een typische flooding-aanval is vanuit de huiskamer op
te zetten.
Revanche van ontevredenen
De aanval kan op touw zijn gezet door een klant die zich door de bank bestolen voelt, of
door een ontevreden eigen werknemer. Vaak zijn het de eigen werknemers die de grootste
bedreiging vormen. Bovendien zijn juist zij zeer goed op de hoogte van de werking van
bancaire computersystemen en dus ook met de kwetsbaarheden daarvan. Ontevreden
werknemers en rancuneuze ex-werknemers zijn in staat om een bank substantiële schade te
berokkenen.
Afleidingsmanoeuvre
Een DDoS-aanval kan als afleidingsmanoeuvre worden ingezet. Daarbij wordt aan de
voordeur van de banksite veel kabaal gemaakt, om vervolgens zo stiekem mogelijk langs
een achterdeurtje in het transactiesysteem te penetreren. In dat geval wordt een DDoS-
aanval gebruikt om het werkelijke doel (= malafide transacties) te verhullen. Het is ook niet
ondenkbaar dat banken zich beroepen op een ‘cyberaanval’ om schadeclaims te ontlopen die
door gedupeerde rekeninghouders kunnen indienen omdat de bank zelf onbetrouwbaar of
instabiel (storingsgevoelig) is.
DDoS-aanval + Cyberinbraak
In Amerika werd een digitale bankroof gepleegd die werd mogelijk gemaakt door een slim opgezette DDoS-
aanval. Terwijl de verdediging van de bank concentreerde zich op deze DDoS-aanval gingen de crackers
aan de haal met pinpas- en betaalkaartgegevens. Met deze data werden pasjes gekloond waarmee geld uit
pinautomaten werd getrokken. Omdat de DDoS-aanval tegelijkertijd het telefoonsysteem van de bank
platlegde, konden klanten niet worden benaderd over verdachte transacties op hun rekeningen. De
cyberbende sprokkelde zo in 48 uur 9 miljoen dollar bij elkaar.
Het lamleggen van een banksysteem met een DDoS-aanval levert voor een cyberbende tijd op om
rekeningen leeg te trekken. De DDoS-aanval fungeert als een afleidingsmanoevre die ervoor zorgt dat de
cyberinval zo lang mogelijk onopgemerkt blijft. “Bij een DDoS-aanval zijn IT-ers druk bezig de site of
server in te lucht te houden of te krijgen en hebben dan mogelijk minder aandacht voor andere
toegangspoorten in het netwerk” [Webwereld, 22.10.12]. In de beveiligingsgemeenschap zijn nog geen
goede scenario’s ontwikkeld voor de verdediging tegen aanvallen die van meerdere kanten tegelijk komen.
Voorbereidingsmanoeuvre
Cyberaanvallen op bancaire systemen worden soms eerst getest (onder druk gezet) om hun
kwetsbaarheden te ontdekken. Soms is een DDoS-aanval slechts een opstap voor een
vervolgactie. De meest eenvoudige vorm daarvan is deze: (i) blokkeer de toegang tot
inlogpagina’s voor internetbankiers met een eenvoudige DDoS-aanval, (ii) misleid
vervolgens de verontrustte clientele van de bank met een lokmail die hen ertoe verleid hun
inlogcodes af te staan.
Afpersing
Cybercriminelen kunnen de toegang tot banksites blokkkeren of klantgegevens stelen en
daarmee banken afpersen. De criminelen beloven dat zij hun acties zullen staken als er
losgeld is betaald.
Vijandige concullega’s
Banken kunnen in cyberspace worden aangevallen door andere concurrerende banken. De
nationale maar vooral ook steeds meer globale concurrentie tussen bankconsortia wordt
door sommige actoren ook gevoerd met andere dan ‘marktconforme’ middelen. De
versluierende metafoor van het ‘buiteneconomisch’ geweld neemt hier steeds meer de vorm
aan van «digitaal geweld». Digitaal of geweld is weliswaar louter ‘virtueel’ geënsceneerd,
maar daarom in zijn gevolgen niet minder effectief en reëel.
Politiek activisme
Soms worden banken aangevallen door politiek gemotiveerde cyberactivisten. Het spectrum
van actoren loopt uiteen van (i) humanitair geïnspireerde activisten die protesteren tegen
het in hun ogen illegitieme of immorele investeringsbeleid van een bepaalde bank, via (ii)
politiek-religieus geïnspireerde terroristische bewegingen die de financiële infrastructuur van
hun vijandige staten ontregelen, tot (iii) individuele vaderlandslievende cyberrambo’s die
het heft in eigen hand nemen —al dan niet officieel of inofficieel (openlijk of heimelijk)
aangemoedigd, gesponsord of getolereerd door de regeringsautoriteiten.
Cyberoorlog
Cyberaanvallen op bancaire systemen worden ook gelanceerd door rivaliserende nationale
staten die een strategisch voordeel proberen te behalen door het financieel verkeer van de
conflicttegenstander te ontregelen. De schade die daarmee wordt aangebracht is zeer
substantieel en duurzaam.
Zoals gebruikelijk werd de aanval niet rechtstreeks vanaf één bron gelanceerd, maar via een
veelvoud van gemaskeerde IP-adressen. Om de bron of bronnen te lokaliseren moeten eerst de
schakels tussen deze proxies in kaart worden gebracht.
Het Team High Tech Crime (THTC) van de politie “Digitaal geld is ondertussen zo�n groot deel
van ons leven uit gaan maken dat de
begon in opdracht van het Openbaar Ministerie een
veiligheid daarvan geborgd moet zijn”
onderzoek naar de cyberaanval. Het Nationaal Cyber [Kamerlid Arnold Merkies, in: SP.nl].
De identiteit en intenties van de aanvallers zijn nog niet bekend. Ook niet of de oplichters die
misbruik maakten van de onzekerheid bij ING-klanten door daarop inspelende frauduleuze
lokmails te versturen ook verantwoordelijk waren voor de DDoS-aanval. Niemand claimde de
verantwoordelijkheid voor de DDoS-aanval [NSSC, 9.4.13].
Het is een klassieke tactiek van de Italiaanse maffia: je stuurt eerst de harde, dreigende enforcers naar het
doelwit, vervolgens stuur je de behulpzame redders in de nood om je daartegen te beschermen. Het
uiteindelijk resultaat is dat het slachtoffer een hoge rekening betaald voor zijn protectie — het slachtoffer
wordt bestolen.
Op het internet gaat dit subtieler, maar het resultaat is hetzelfde. Dit was de lokmail waarmee ING-
rekeninghouders werden bestookt.
Het bericht is een duidelijk geval van phishing: een vorm van internetfraude,
waarmee fraudeurs proberen achter uw bankgegevens te komen. In
phishingberichten wordt u gevraagd om persoonlijke gegevens, zoals uw naam,
adres, telefoonnummer, rekeningnummer of inloggegevens van uw bank. Of u
wordt gevraagd op een link te klikken. Onthoud dat uw bank nooit via e-mail, telefoon of sms om persoonlijke
gegevens zal vragen. Ook zal uw bank u nooit via een onpersoonlijk bericht vragen een nieuwe website te
testen, de veiligheid van internetbankieren te testen of mee te werken aan een update van internetbankieren.
Krijgt u zo'n verzoek? Ga hier dan dus niet op in” [Politie, 9.4.13].
Er zijn cyberaanvallen bekend waarbij 130 banken binnen één dag 10 miljoen dollar verloren.
Als dit een traditionele bankroof was geweest, zou het wereldnieuws zijn geworden. In dit geval
besloten de bankdirecties om geen ruchtbaarheid te geven aan deze cyberroofoverval uit angst
dat dit hun zaken negatief zou beïnvloeden. Verlies van veiligheidsreputatie en klantvertrouwen
is de nachtmerrie voor elke bankier.
De criminelen hadden ingebroken op een computernetwerk waar zij informatie stalen van
meerdere rekeningen. De PIN-codes werden ontcijferd en met deze gegevens werden witte
plastic pasjes gemaakt waarmee via geldautomaten rekeningen werden leeggeroofd. Om deze
klus te klaren, kwamen tientallen criminelen tegelijk in actie in 49 steden in Europa, Noord-
Amerika, Zuid-Amerika en Azië. Het illustreert de internationalisering van cybercriminaliteit. In
totaal werd bij deze Operation High Roller $2,5 miljard gestolen [Business Insider, 28.6.12].
Na zijn arrestatie verspreidden anonieme hackers uit St. Petersburg het bericht dat Levin
(die biochemie studeerde op de Tekhnologichesky Universiteit in diezelfde stad) niet over de
technische vaardigheden beschikte om in de computersystemen van Citibank in te breken.
Zij zouden er zelf wel in geslaagd om diep door te dringen in het netwerk van de bank en
zouden de details over deze toegang voor 100 dollar aan Levin hebben verkocht.
Het IMF speelt een belangrijke rol in de economische herstelprogramma’s voor Griekenland,
Portugal, Spanje en Ierland. De databestanden van het IMF bevatten informatie die markten
in een bepaalde richting kunnen duwen en verslagen van onderhandelingen met
regeringsleiders over de voorwaarden van internationale financiële steun. Als die informatie
in verkeerde handen komt is dat politieke dynamiet.
Leningen en olie
Er was al eerder ingebroken in het netwerk van het IMF. Wat voor informatie er werd gestolen bleef
onbekend, maar op 7 november 2008 werd het computernetwerk van de IMF een aantal dagen stilgelegd.
Volgens een voormalige Britse inlichtingenofficier, Nick Day, zat de Chinese regering achter deze aanval.
“Waar de Chinezen met name in geïnteresseerd zijn, is welke leningen het IMF aan andere landen gaat
geven. De geopolitiek daarvan is dat er een aantal landen zijn die op enorme buitenlandse financiële
reserves zitten —Rusland, China, Japan en het Midden-Oosten— en de rest van ons leent van die
kredietverschaffers” [Foxnews, 14.11.08; Webwereld, 6.11.08]. Wie vroegtijdig informatie over leningen in
handen krijgt, kan andere landen —vooral landen uit de derde wereld met mineralen en olie— benaderen
om bij hen een lening af te sluiten, in plaats van bij het IMF.
De eerste roof van bijna 4 miljoen euro vond plaats op 21 december 2012. De hackers
infiltreerden het systeem van een Indische creditcerdverwerkingsbedrijf dat handelt in Visa
en MasterCard prepaidaccounts. Zij verhoogden de opnamelimieten op prepaid MasterCard
debitrekeningen die worden uitgegeven door de Nationale Bank van Ras Al-Khaimah in de
Verenigde Arabische Emiraten. Door het verwijderen van de opnamelimieten hadden de
criminelen slechts een aantal rekeningnumers nodig om een financi�le instelling enorme
verliezen te bezorgen.
Bij de tweede roof op 19 februari werd ruim 30 miljoen euro uit geldautomaten getrokken.
Daarvoor werden over in 23 landendoor een leger van katvangers 4.500 transacties
uitgevoerd. Er werd onder meer gepind in Japan, Rusland, Roemeni�, Egypte, Colombia, Sri
Lanka en Canada. De criminelen hadden hiervoor ingebroken in het systeem van een
Amerikaans creditcardverwerkingsbedrijf en hackten daar twaalf rekeningen. Ook dit keer
wisten de criminelen de opnamelimiet van de kaarten te verwijderen en stond er een nog
groter leger van katvangers klaar om met de gestolen kaartgegevens geld op te nemen
[Security, 10.5.13].
Bij de groep die in Duitsland pinden in de wereldwijde roof die in New York was opgezet,
speelden Nederlanders een belanrijke rol. In D�sseldorf stonden twee Nederlanders terecht
voor de miljoenenroof. Zij werden beschuldigd van computerfraude en het vervalsen van
creditcards.De Haagse timmerman Eddy Z. (35) en zijn moeder Wilma Z. (56) werden in
D�sseldorf gearresteerd met bijna 168.000 euro cash in de laadruimte van hun bestelbusje.
’Om drie uur in de nacht bleven de timmerman en zijn moeder maar geld pinnen in het bankfiliaal aan de
Wesfalenstraße in D�sseldorf.
Op de mobiele telefoon van Eddy Z. troffen de rechercheurs Nederlandse sms’jes aan van
de pinteams in Frankfurt, Duisburg en Bremen. De criminelen elkaar op de hoogte via sms.
Er werden berichtjes naar elkaar gestuurd zoals ‘We zijn succesvol’, ‘Het werktt’ en ‘Ik heb
weer 2500 euro en rij nu naar huis’. De timmerman en zijn moeder werden veroordeeld tot
vier jaar en drie maanden cel [Die Welt, 15.11.13; Telegraaf, 4.2.14].
Later werden nog zeven andere verdachten uit Nederland ge�dentificeerd en aangehouden.
in online banktransacties stal. De FBI omschreef GOZ als �een extreem geavanceerd type
malware dat specifiek ontworpen is om bank- en andere vertrouwelijke informatie te stelen
van de computers die het infecteert” [IBTimes, 3.6.14]. Het wordt voornamelijk verspreid
via e-mail spam of hengelberichten.
aanzienlijk moeilijker, maar niet onmogelijk. bovendien gebruik gemaakt van encryptie.
GOZ is zeer veerkrachtig omdat het geen
single point of failure kent.
De slachtoffers van Bogachev’s bende waren onder
andere een Amerikaans-Indiaanse stam in Washington state, een verzekeringsmaatschappij,
een lokale politieafdeling in Massachusetts, een pestcontrole bedrijf in North Carolina, een
restaurant en een regionale bank in Florida.
Via het GOZ botnet werd ook de ransomware CryptoLocker verspreid die in april 2014 al
meer dan 200.000 computers over te hele wereld had ge�nfecteerd. Op deze manier
haalde de bende $27 miljoen losgeld binnen.
maakten daarbij gebruik van een lek in het De zes veroordeelde criminelen werden op 23
computersysteem van de banken. Via internet mei 2011 gearresteerd. Het zijn vijf mannen
en een vrouw, die wonen in Bunschoten,
verhandelde de bende opties in de korte periode
Beneden Leeuwen, Utrecht, Amersfoort,
tussen de digitale aanschaf en het afrekenen bij de Nijkerk en Altforst.
bank. Door een fout in de banksystemen van zowel De banken hebben zelf 42 miljoen euro
teruggehaald en justitie legde voor een aantal
de ABN Amro als de Rabobank werden de orders
miljoen beslag. Er werd ondermeer beslag
pas enige tijd later afgerekend. In de tussentijd gelegd op sportauto’s, twee vrachtwagens,
hadden de criminelen de opties al doorverkocht en twee scooters en een buitenjacuzzi. Ook werd
voor een waarde van 900.000 euro beslag
de opbrengst snel overgeboekt naar buitenlandse gelegd op meerdere huizen [Nieuwsuur,
rekeningen. Op die manier werden in twee jaar 24.5.11].
enorme sommen geld achterover gedrukt. Volgens de rechtbank had de internetbende door
hun acties het vertrouwen van particulieren in digitaal beleggen en bankieren een forse klap
toegebracht.
De hackers kregen toegang tot de websites van de bank door een zero-day softwarelek.
Vervolgens ploegden zij zich door uitgebreide beveiligingslagen om de data te stelen. Gezien
de subtiliteit van de aanval rees het vermoeden dat zij niet zonder overheidssteun kon
worden uitgevoerd [Bloomberg, 28.8.14; Bloomberg, 3.9.14; NYT, 27.8.14; Guardian,
28.89.14].
Overal waar geld een rol speelt, komen criminelen in actie om het te stelen. In januari 2011
sloegen cyberexperts wereldwijd alarm: hackers waren er in geslaagd in te breken bij het
handelssysteem voor emissiecertificaten van de Europese Unie (EEX). De hackers hadden
certificaten ter waarde van 30 miljoen euro gestolen en enige dagen later weer ongestoord
verkocht. De handel moest worden stilgelegd. Wie de cybercriminelen waren, werd nooit
ontdekt. Deze aanval demonstreerde dat de handel, de financiële markt intussen ook in het
vizier van cyberaanvallers was gekomen.
Via lokmails hadden de cybercriminelen zich toegang verschaft tot de databanken die officiële
informatie bevatten over emissiecertificaten van individuele ondernemingen. De lokmails leken
verstuurd te zijn uit naam van de Deutsche Emissionshandelsstelle (DEHSt). Meerdere
Europese en een aantal Japanse en Nieuw-Zeelandse ondernemingen ontvingen een bericht
waarin zij werden uitgenodigd om door te klikken naar een webpagina om opnieuw hun
gebruikersregistratiegegevens in te voeren. De reden die daarvoor werd gegeven was ironisch:
het beschermen van het register tegen dreigende aanvallen van hackers.
Het is de vraag of de daders lang konden profiteren van hun gestolen certificaten. De
emissiecertificaten zijn genummerd en kunnen dus worden geïdentificeerd. Het internationale
secretariaat van de UNFCCC kan grensoverschrijdende handel controleren en illegale
transacties ongedaan maken. Maar de kans om op deze manier de buit van de cybercriminelen
terug te krijgen is zeer klein. Om de schade te beperken, sloten talrijke Europese landen hun
certificaatregister een paar dagen af, zodat er even geen transactieboekingen konden worden
doorgevoerd.
Emissiecertificaten
Emissie is een bepaalde hoeveelheid uitstoot van gassen zoals koolstofdioxide die het klimaat negatief
beïnvloeden. Emissiecertificaten zijn een middel om de uitstoot van schadelijke stoffen te beperken. Ze zijn
bedoeld om nationale staten en ondernemingen te stimuleren om steeds minder emissies te veroorzaken —
bijvoorbeeld door minder fossiele energiedragers te verbranden. Wie minder emissiecertificaten verbruikt dan
zijn toegedeeld of werden ingekocht, kan zijn overtollige CO2-certificaten verkopen in een daarvoor speciaal
ingericht handelssysteem, de energiebeurs EEX (European Energy Exchange). Nationale staten en
ondernemingen die de atmosfeer sterker vervuilen dan hen eigenlijk is toegestaan, moet daarvoor aanvullende
certificaten verwerven (en dus extra betalen).
Het doel van de EU is om de globale opwarming van de aarde te beperken tot 2 graden Celsius boven het pre-
industriële niveaus. De EU wil de klimaatverandering beperken en voldoet aan haar verplichtingen onder het
Kyoto Protocol. Elke lidstaat verleent haar CO2-uitstotende faciliteiten een bepaalde hoeveelheid
emissierechten door middel van een Nationaal Allocatie Plan. Deze rechten kunnen net als andere waren op de
markt worden verhandeld.
In 2009 was de marktprijs van 1 EUA (1 ton CO2) ongeveer € 12,5. In de 27 lidstaten werden meer dan 2
miljard EUA’s verdeeld aan 12.000 instellingen die CO2 uitstoten. De totale waarde van de CO2-markt van de
EU wordt geschat op € 90 miljard per jaar.
Dit was geen incident. Op 9 december 2009 maakte Europol —het Europese
samenwerkingsverband van de politiediensten— bekend dat de fraude op de handelsmarkt voor
emissies in anderhalf jaar tijd een belastingverlies van € 5 miljard had veroorzaakt, vooral in
Engeland, Frankrijk, Spanje, Denemarken en Nederland. Ook ondernemingen,
elektriciteitsleveranciers en handelaren leden schade. Om verdere verliezen te voorkomen
veranderden Frankrijk, Nederland, het Verenigd Koninkrijk en later ook Spanje hun
belastingregels met betrekking tot deze transacties. Nadat deze maatregelen waren genomen
daalde het marktvolume van deze landen met 90 procent. De grootschalige georganiseerde
criminaliteit tast de geloofwaardigheid van het CO2-handelssysteem aan en leidt tot
substantieel verlies van belastinginkomsten voor regeringen [Europol, 9.12.09; The Telegraph,
10.12.09].
Criminelen maken gebruik van de techniek van “Missing Trader Intra-Community Fraud”
(MTIC). Ze kopen CO2-certificaten elders in Europa op waar de BTW lager is. Daarna worden de
certificaten doorverkocht naar landen als Nederland en Engeland waar de BTW hoger is [CO2-
krediet carroussel]. De criminelen steken het verschil in hun zak. Deze tactiek wordt vaker
toegepast in de handel van mobiele goederen over Europese grenzen, zoals mobiele telefoons,
computers, sigaretten en edele metalen.
Operatie TulipBox
In de strijd tegen fraude met emissiecertificaten worden soms kleine successen behaald. Ondersteund door
Europol vielen op 19 augustus 2009 agenten de Britse belastingdienst (HMRC) 27 locaties binnen: 24 in het
Verenigd Koninkrijk en 3 in Nieuw Zeeland. Daarbij werden 9 mensen gearresteerd en ongeveer €3 miljoen in
beslag genomen dat geparkeerd stond op een bank in Nieuw Zeeland. De arrestanten waren lid van een
crimineel netwerk dat zich gespecialiseerd had in CO2-kredietfraude. In heel Europa werden in 2010 invallen
gedaan in honderd kantoren en werden meer dan 100 mensen gearresteerd [Europol, 9.12.10].
indiceerde slechts het omslagpunt. De btw-fraude fraude tast niet alleen de financiële belangen
van de Europese gemeenschap aan, maar heeft ook gevolgen voor legale ondernemingen die
niet op niveau kunnen concurreren in sectoren die door btw-fraude zijn gecorrumpeerd. Zij
moeten opereren op een gemanipuleerd speelveld waarin clandestiene en criminele
ondernemingen worden bevoordeeld
Tegen het einde van het eerste decennium van de 21ste eeuw werd cybercriminaliteit een
prioriteit op de Europese agenda en dus voor Europol. Met haar High Tech Crime Centre
ondersteunt Europol lidstaten in de algemene strijd tegen georganiseerde cybercriminaliteit. In
2009 werd het Europol Cyber Crime Platform (ECCP) opgericht. Dit platform fungeert als
meldpunt waar lidstaten internetgerelateerde vormen van criminaliteit kunnen rapporteren:
Internet Crime Reporting Online System (i-CROS). Het ECCP probeert cybercriminele groepen
te identificeren, op te sporen en te ontmantelen. Via haar forensisch expertise platform (i-
FOREX) wordt geïnformeerd over best practices en worden agenten getraind in het
rechercheren van cybercriminele activiteiten en het opsporen van daders.
Alle typen van georganiseerde criminaliteit gebruikt het internet als communicatiemedium, informatiebron,
marktplaats, rekruteringsveld en financiële dienst. Het demografisch profiel van de moderne cybercrimineel is:
jong, zeer vaardige individuen die vaak van universiteiten worden gerekruteerd [Europol, OCTA 2011]. Zowel
in de virtuele als in de lokale wereld worden de meeste criminele activiteiten geïnitieerd door individuen of
kleine groepen. Phil Williams spreekt in dit verband over «disorganized crime».
worden om gegevens te stelen, was er dus ook een functie ingebouwd om een heel
computernetwerk volledig te ontregelen.
Om vertrouwelijke informatie te delen maakte de Directors Desk is een programma dat door Nasdaq
zelf verkocht wordt aan bedrijfsdirecties. Zij kocht
directie gebruik van het softwareprogramma
het programma in 2007 van een bedrijf in
Directors Desk. De basisarchitectuur van het Washington. Het programma wordt gepresenteerd
als uiterst veilig omdat het gebruik zou maken van
computersysteem van Nasdaq was bestendig
zeer sterke technologie voor dataprotectie. Het
tegen hackers. Maar sommige computers werkten programma is inmiddels ook gratis beschikbaar als
met verouderde software, met slecht IPad app.
Voor dergelijke belangrijke financiële systemen is zo’n gebrek aan cyberhygiëne meer dan
opmerkelijk. Nasdaq spendeert jaarlijks bijna een miljard dollar aan informatiebeveiliging.
Wereldwijd werken er maar liefst 1.000 mensen aan de informatietechnologie van Nasdaq en
10 bedrijven adviseren haar over beveiligingskwesties, inclusief een belangrijke Amerikaanse
defensieaannemer. Maar zij waren samen niet in staat om te achterhalen hoelang de
kwaadaardige software al in het netwerk van Nasdaq werkzaam was voordat het werd ontdekt.
Nasdaq verklaarde dat haar handelsplatforms niet door de hackers waren gecompromitteerd en
dat zij alleen het programma Directors Desk waren binnengekomen. Maar door dit programma
te infecteren kregen de hackers toegang tot vertrouwelijke documenten en tot de
communicatie tussen directieleden. Zij kregen ook toegang tot gegevens van beursgenoteerde
bedrijven [Reuters, 20.10.11].
Het is een voorbeeld van een getrapte aanval (blended attack) waarbij hackers een doelwit
infiltreren om toegang tot andere computersystemen te vergemakkelijken. Het is vergelijkbaar
met de aanval op de RSA beveiligingsafdeling waarbij digitale beveiligingssleutels werden
gestolen die later werden gebruikt om in te breken op de netwerken van militaire eenheden,
Het feit dat ook de NSA werd ingeschakeld om de cyberaanval op Nasdaq te onderzoeken, wijst
erop dat de aanval ernstiger was dan Nasdaq wilde toegeven. Het vermoeden was dat er een
nationale staat bij betrokken was of een buitengewoon capabele criminele organisatie. Nader
onderzoek liet zien dat er zelfs sporen waren van meerdere uiteenlopende groepen die al jaren
lang clandestien in de netwerken van Nasdaq opereerden [Bloomberg, 30.3.11; Wired,
30.3.11].
In januari 2011 concludeerde de NSA dat de ingebouwde digitale bom in staat was om de hele
beurs weg te vagen en dat deze bom geplaatst zou zijn door Russische elitehackers. Maar in
tegenstelling tot een bom of een raket kan kwaadaardige software worden hergebruikt. Daarna
vond de NSA bewijzen dat de Russische malware gebruikt werd door een hooggekwalificeerde
Chinese cyberspion die daarmee zijn identiteit probeerde te verbergen. Toen uiteindelijk ook de
CIA zich in het onderzoek mengde werd de theorie van de inbraak nogmaals gewijzigd: het zou
een zeer uitgebreide vorm van cybermisdaad zijn die vooral gericht was op het stelen van
Nasdaq’s meest kritische technologie [Bloomberg, 17.7.14].
De DDoS-aanval op de aandelenbeurzen werd opgeëist door hacktivisten (of een hacktivist) die zich de
L0NGwave99 Group noemen [The Guardian, 14.2.12]. In een warrige verklaring werd gezegd dat hun operatie
Digital Tornado gericht was tegen het gevaarlijke “kapitalisme van de liberale democratie”. De hackers wilden
met hun actie de Occupy-beweging ondersteunen.
Flitshandel en beursmanipulatie
Aan de wieg van de huidige kredietcrisis stond de handel in onbegrijpelijke kredietproducten.
Hoewel we nog druk bezig zijn om de gevolgen van die crisis te boven te komen, lijkt de
volgende crisis al in de maak: een systeemcrisis die veroorzaakt wordt door de
geautomatiseerde flitshandel.
De flitshandel op de beurs is een bedreiging voor de «High frequency traders» zijn handelshuizen
die met behulp van computeralgoritmen
stabiliteit van de financiële markten en is voor
geautomatiseerd en razendsnel in effecten en
toezichthouders nauwelijks meer te volgen. De high derivaten handelen. In Europa maken zij al
50% van de beurshandel uit.
frequency trade (HFT) zou wel eens een nieuwe
financiële crisis kunnen veroorzaken. We hebben daarvan al een paar voortekenen gezien.
Om de beurs uit de spiraal naar beneden te trekken was een noodstop van 30 seconden
nodig. Die tijd was nodig om alle algoritmes uit te zetten en met nieuwe informatie opnieuw
op te starten. Of het hier een bewuste opdracht betrof of een fout in het systeem bleef
onduidelijk. Maar op 6 mei ‘verdampte’ er binnen een paar minuten 862 miljard dollar op de
beurs van New York omdat de computerprogramma’s op hol sloegen.
Op 3 oktober 2012 schrapte het bestuur van Vette vinger kan paniek veroorzaken
Van een vette vinger fout is sprake als een
Nasdaq een reeks verdachte flitstransacties die het
handelaar per ongeluk een order plaatst om
aandeel Kraft Foods binnen 1 minuut 29 procent in een miljoen aandelen te verkopen in plaats
van honderd. Zo’n menselijke fout wordt ook
waarde deden stijgen. De handelaren vermoedde
wel een ‘drukfout’ genoemd [Volkskrant,
dat er dit keer sprake zou kunnen zijn van een 20.10.12].
‘vette vinger’ waarbij een kooporder verkeerd is
ingevoerd [Telegraaf, 4.10.12]. Op 1 augustus gebeurde iets soortgelijks met de handel in
aandelen van het effectenhuis Knight Capital. De handel werd gestopt nadat de
investeringsgroep waarschijnlijk door een softwarefout voor 440 miljoen dollar het schip in
was gegaan. Ook software die maandenlang rigoureus was getest bleek toch weer fouten te
bevatten die tot een minicrash zouden leiden [BloombergBusinessweek, 3.8.12.
Door de sterke stijging van het aantal beurstransacties is het verschil tussen aan- en
verkoopprijs van aandelen en derivaten aanzienlijk kleiner geworden. Flitshandelaren echter
zijn niet geïnteresseerd in de waarde van aandelen of derivaten. Zij kopen en verkopen ze
immers niet om er een aandelenpositie mee op te bouwen zoals de institutionele beleggers
doen. De «belegging» in kredietproducten duurt slechts een paar seconden (en vaak zelfs veel
korter). Er wordt alleen maar gehandeld in het minieme verschil tussen de aan- en
verkoopprijs. Door dit extreem snel en vaak te doen kunnen gigantische winsten worden
gemaakt.
De kunst is om daarvoor programma’s te schrijven die de concurrentie te slim en vooral te snel af is. Dat zijn
programma’s die in fracties van milliseconden allerlei handelsstrategieën op de beurs kunnen doorrekenen. Met
behulp van zeer geavanceerde wiskundige formules (algoritmes) maken deze softwarerobots op grond van alle
actuele beursinformatie supersnelle beslissingen om aandelen en derivaten te kopen of te verkopen.
Om optimaal gebruik te kunnen maken van minimale verschillen tussen bied- en laatkoers worden die
computers zo dicht mogelijk bij de beurscomputers geplaatst die de transacties verwerken. Hoe langer de
glasvezelkabel hoe meer nanoseconden de signalen onderweg zijn. Daarom worden de supercomputers van de
flitshandelaren fysiek zo dicht mogelijk bij de beurscomputers geplaatst. ‘Tijd is geld’, In dit geval zijn zelfs
fracties van milliseconden— heel veel geld waard.
“Iedereen op de financiële markt maakt gebruik van computers, maar de wijze waarop de algoritmes
worden ingezet verschilt per partij. Institutionele beleggers gebruiken «agency» algoritmes. Ze moeten
bepaalde posities innemen en willen dat zo efficiënt en slim mogelijk doen. Dus niet in een keer één grote
partij op één beurs aanbieden, maar spreiden in tijd en over meerdere platforms, zodat de beste prijs kan
worden bedongen. Het zijn feitelijk geautomatiseerde handelsstrategie�n. Daarnaast heb je de flitshandel
die gebruik maakt van «proprietary» algoritmes. Dan praat je eigenlijk over geautomatiseerde
hoekmannen: computers die een prijs in de markt leggen, maar dan met een ongelooflijk hoge snelheid en
frequentie. De flitshandel heeft geen natuurlijke interesse in de markt, maar gebruikt de algoritmes om
razendsnel in te spelen op extreem kleine prijsverschillen in de markt en zo geld te verdienen” [Menkveld
2012].
Het risico van flitshandel is dat alle algoritmes op een bepaald moment hetzelfde gaan doen. De algoritmes
reageren dan alleen nog maar op elkaar in plaats van op nieuwe relevante informatie over een aardbeving in
China, een dreigend failliet van de Griekse overheid of een oorlog met Iran. Bij snel vallende koersen heeft de
flitshandel een versterkend effect (het sneeuwbaleffect). Hierdoor kan een flitscrach ontstaan die razendsnel
op een regelrechte systeemcrisis kan uitlopen.
Flitshandelaren kunnen de handel op beurzen manipuleren. Door op het ene moemnt heel
veel verkooporders te geven en die een microseconde later weer in te trekken kunnen de
aandelenprijzen worden gemanipuleerd. Omdat zo snel gaat is de particuliere belegger per
definitie de klos — zij zijn altijd te laat. Institutionele beleggers zoals pensioenfondsen zijn
geen partij voor de snelle algoritmen waarmee flitshandelaren de koersbewegingen naar hun
hand zetten.
Bij de duurdere aandelen gebeurt precies het tegenovergestelde. Orders van particulieren worden eerst
overtroefd door kleine aankooporders die milliseconden vóór de particuliere order worden geplaatst. Omdat
zijn order niet wordt uitgevoerd besluit de particuliere belegger dat hij wel iets meer wil betalen. Hij verhoogt
zijn aankooplimiet en krijgt nu ineens wel zijn aandelen. Door deze manipulatie van de koersvorming wordt de
particuliere belegger uitgelokt om zijn verkoopprijs te verhogen en betaald uiteindelijk een te hoge prijs voor
zijn aandeel.
Flitshandelaren kunnen financiële markten manipuleren zonder dat de toezichthouder dit ziet. Marktmisbruik
kent vele varianten en de beursbengels dit als een opwindend spelletje. Vlak voor het sluiten van de beurs een
order inleggen om een reactie bij een ander algoritme op te roepen om dan binnen een fractie van een
seconde de order weer in te trekken: kassa!
Een verbod op het gebruik van computertechnologie is onzinnig en onuitvoerbaar. Het zou alle
voordelen van de automatisering (efficiëntere markten en lagere transactiekosten) teniet doen.
Hetzelfde geldt voor voorstellen om de frequentie waarmee prijzen worden vastgesteld te
verlagen. Een algemeen speculatieverbod botst frontaal op de kapitalistische logica die de
leidraad is voor het politiek handelen van regeringsleiders. En politici die nog wel in staat zijn
om een onderscheid te maken tussen de kapitalistische en speculantenlogica zijn dun gezaaid.
Een verbod op het gebruik van computertechnologie is onzinnig en onuit�voer�baar. Het zou
alle voordelen van de automatisering (efficiëntere mark�ten en lagere transactiekosten) teniet
doen. Hetzelfde geldt voor voorstellen om de fre�quen�tie waarmee prijzen worden
vastgesteld te verlagen. Een algemeen specu�latie�verbod botst op de kapitalistische logica
die de leidraad is voor het politiek handelen van regeringsleiders.
De populairste remedie is het beperken van de snelheid van de aandelenhandel door het
instellen van een snelheidslimiet. Op 24 september 2012 presenteerde de Europese Commissie
een aantal maatregelen om de flitshandel op de beurs aan banden te leggen. De belangrijkste
maatregel is het beperken van de beurssnelheid tot een halve seconde (500 milliseconde). Ten
opzichte van de huidige snelheid (0,05 milliseconde per transactie) zou dit een enorme
vertraging betekenen. De transacties op de beurzen zouden door dit voorstel duizend keer
trager verlopen dan nu het geval is.
Het gevolg van dit voorstel zou zijn dat orders minstens een halve seconde in het ‘orderboek’
van de beurs moeten blijven staan voordat ze kunnen worden geannuleerd of gemodificeerd.
Voor flitshandelaren als Optiver, IMC en Flow Traders is dit een eeuwigheid. Zij beschouwen dit
als een ongehoorde interventie in hun manier van zaken doen. Als zij verplicht zouden worden
om hun orders voor 500 milliseconden in te leggen zonder dat zij deze tussentijds mogen
veranderen, dan lopen zij enorme risico’s. “Je legt in die tijd als het ware je portemonnee op
tafel. Dat willen we niet”, aldus een woordvoerder van de lobbyorganisatie FIA [Volkskrant,
17.10.12].
video inmiddels verdwenen, maar het plaatje maakt duidelijk wat de boodschap was.
Flitshandelaren stellen alles in het werk om de snelheid van hun beursoperaties nog verder op
te voeren. Zij investeren zwaar in de aanleg van nieuwe, nog snellere onderzeese
glasvezelkabels die de beurzen van Tokyo, Londen en New York met elkaar verbinden. Hierdoor
zal in 2014 de overdracht van een opdracht tussen de beurs van Tokyo en Londen 62
milliseconde korter duren dan de 230 milliseconden die daar nu nog voor nodig zijn. Medio
2011 kondige het in Londen gevestigde bedrijf Fixnetix aan dat zij de allersnelste
handelsapplicatie had gemaakt: een microchip die een transactie in 740 miljardste seconde kan
uitvoeren. Je kunt niet meer zeggen dat transacties zich in een oogwenk voltrekken: een
oogwenk heeft honderden miljoenen nanoseconden nodig. Voor sommige flitshandelaren zijn
zelfs nanoseconden nog te traag. Zij spreken al over picoseconden — een triljoenste van een
seconde [Wall Street Journal, 14.6.11; Gay/Yao/Ye 2012].
De AFM houdt toezicht op alle orderdata van de AEX (Amsterdam Exchange Index). De AEX
geeft het beeld van de koersontwikkeling van de 25 aandelen met de grootste
marktkapitalisatie op de Amsterdamse effectenbeurs. Technisch gezien is de AFM wel in staat
om alle microbewegingen op deze beurs te reconstrueren. Maar zij heeft geen continu beeld
van de flitsorders die over de gedigitaliseerde beursvloer vliegen. Als er verdachte
koersbewegingen worden geconstateerd, is zij ook niet in staat om de identiteit te achterhalen
van de handelaren die de flitsorders hebben geplaatst. De AFM beschikt niet over dezelfde
algoritmische technologie als degenen waarop zij toezicht moeten houden. Maar ook de AFM
heeft geen behoefte aan het Europese voorstel een tijdslimiet in te voeren om de risico’s die
aan de flitshandel verbonden zijn te beteugelen. Sommige critici zeggen dat de AFM een
waakhond van de beurs moet blijven en geen schoothondje van flitskapitalisten.
De Europese Unie wil de risico’s van de flitshandel beperken door op de rem te gaan staan. Maar de ziel van
het flitskapitaal is juist gelegen in de enorme snelheid waarmee zijn robots op de internationale
effectenmarkten opereren. Fast trade en snelheidslimieten zijn onverenigbaar.
Een andere manier om de ontregelende kracht van het flitskapitaal te beperken is het inbouwen van betere
circuit breakers die de handel stilleggen als er problemen worden geconstateerd. Met zo’n noodrem kan de
schade worden beperkt, maar niet voorkomen.
Een aantal grote flitshandelaren hadden zich al een paar minuten vóór de koersval van Google uit de markt
teruggetrokken. Hierdoor ontstond een groter verschil tussen aan- en verkoopprijs. De computeralgoritmes
reageerden daarop met een snel spervuur van ingetrokken kooporders [Bloomberg, 18.10.12]. Er werd pas
aan de noodrem getrokken nadat het flitskapitaal haar schaapjes op het droge had. De algoritmische
snelhandel trok aan het langste eind.
Criminele netwerken zijn multinationaal in bereik waardoor hun impact groter is dan ooit te
voren. Criminele organisaties zijn de meest ondernemende en lenige elementen van de globale
economie. Ze zijn bijzonder behendig is het exploiteren van zwakke instituties en fragiele
staten. Zelfs in de meest geavanceerde economieën is hun invloed zeer vergaand. In een
verklaring van het World Economic Forum werd dit pijnlijk adequaat onder woorden gebracht.
“Georganiseerde misdaad penetreert in de financiële markten van Hong Kong, de banken van Japan en de
bouwindustrie in New York aan. Georganiseerde misdaad ontmoedigt investeringen in Mexico en Afghanistan,
en verstikt de reconstructie van veel post-conflict samenlevingen zoals Sierra Leone en de Democratische
Republiek Congo. Het stimuleert corruptie, clandestiene handel en illegale migratie, ondermijnt het milieu en
de mensenrechten, en draagt bij aan de uitputting van natuurlijk bronnen. Naarmate de wereld in sterker
interdependent wordt, zullen criminele organisaties zich blijven uitbreiden en aanpassen. De opkomst van
nieuwe machten zoals China, India en Brazilië stelt het vermogen van de wereld op de proef om de
verspreiding van geraffineerde criminele syndicaten te beperken” [World Economc Forum 2011].
In 2011 waagde de UNODC (United Nations Office on Drugs and Crime) zich aan een eerste
globale schatting van transnationaal georganiseerde criminaliteit. Zij schatte de clandestiene
stromen die verbonden zijn aan misdaadsyndicaten op $ 125 miljard per jaar. Daarvan wordt
Natuurlijk zijn dergelijke getallen niet meer dan schattingen. Maar zelfs in de meest
conservatieve schattingen zijn de criminele inkomsten gigantisch groot. Bovendien zijn dit
alleen nog maar de directe kosten. De indirecte kosten zijn aanzienlijk hoger. Dat zijn kosten in
de vorm van instabiliteit, geweld en verwondingen, menselijke gezondheid, schoonmaken van
milieu, en een gemanipuleerd speelveld dat clandestiene ondernemingen bevoordeelt.
Over miljoenen illegale transacties per dag wordt geen belasting geheven. Dat geldt voor
illegale banktransacties tot aan het smokkelen van imitatie goederen (schoenen, tassen en
medicijnen) en verhandelen van intellectueel eigendom. Overheden die zich inzetten om de
sociale voorzieningen nog een beetje overeind te houden verliezen nog eens vele miljarden
extra door belastingontduiking en het witwassen van zwart geld. Al deze niet-verkregen
belastinginkomsten hebben directe gevolgen voor de belastingbetaler.
Bovendien maakt de economische crisis bonafide opererende ondernemers meer geneigd (of
gedwongen) om compromissen te sluiten, waardoor criminele groepen nog verder in het
economisch stelsel kunnen infiltreren.
Slecht voorbereid
Het adviesbureau KPMG onderzocht de frequentie van cyberaanvallen op Nederlandse bedrijven en
instellingen. Uit de enquête onder ruim 170 bestuurder bleek dat de helft van de Nederlandse bedrijven en
instellingen in 2011 het slachtoffer was van een cyberaanval. Bij ruim 60 procent beperkte de schade zich
jaarlijks tot een bedrag van 100.000 euro. Bij ruim 10 procent overstijgt de schade een bedrag van 1,5 miljoen
euro. Slechts één op de vijf acht zichzelf in staat om zo’n aanval met succes te kunnen afslaan. Daaruit is maar
een conclusie te trekken: Nederlandse bedrijven en instellingen zijn slecht voorbereid op cyberaanvallen.
De financiële sector is het meest populaire doelwit. Hier vindt 75 procent van de cyberaanvallen plaats. Om
toegang te krijgen tot computersystemen maken de cybercriminelen vooral gebruik van lokmails (phishing).
“Cybermisdaad is al lang niet meer het terrein van amateurs: de aanvallen komen ook vanuit de
georganiseerde misdaad. daarbij gaat het niet alleen om geld, maar ook om spionage en verstoring van
belangrijke processen (en daarmee van ondernemingen en/of publieke diensten)” [KPMG]
Voor gekwalificeerde en goed uitgeruste criminelen zijn de beurzen en banken een interessant
werkgebied. Maar ook voor nationale staten zijn de financiële markten en instellingen een
aantrekkelijk operatieveld. Zij beschikken over voldoende middelen, gekwalificeerde mensen en
de lange adem die nodig is om beursmanipulaties op lange termijn geduldig en planmatig te
realiseren.
Bij beursmanipulaties door nationale staten is monetair gewin meestal niet het belangrijkste
doel. Door een cyberaanval op beurzen proberen zij de hele economie van een andere staat
ernstige schade toe te brengen. Als men weet op welke gevoelige strategische punten een
financieel stelsel moet aanvallen en als men op het juiste tijdstip de verkeerde signalen geeft,
dan kunnen al wankelende staten en hun economische systemen in diepe afgronden worden
gestort.
Geld is tegenwoordig een digitaal opgeslagen getal dat gekoppeld is aan een digitaal opgeslagen
rekeningnummer van een persoon of instelling. Als er geknoeid wordt met die digitale gegevens, of als zij
worden vernietigd, dan zou praktisch de gehele (monetaire) rijkdom op aarde verdampen. Niemand zou meer
in staat zijn om geld van zijn bank te halen of naar een andere rekening over te schrijven.
Cybercriminele organisatie
Cybercriminele ketens
“Cybercriminelen van vandaag hebben niet noodzakelijk aanzienlijke technische expertise nog om de klus
geklaard krijgen. In bepaalde gevallen hoeven zij zelfs niet over een computer te beschikken. Alles wat zij
nodig hebben is een creditcard. Een marktplaats waarop instrumenten en diensten voor cybercrime worden
aangeboden voorziet potenti�le criminelen van een heel arsenaal dat gebruikt kan worden als component
van een cyberaanval of als een handige manier om het hele proces uit te besteden. Deze ondergrondse
marktplaats faciliteert een leger van cybercriminelen — en de kosten daarvan worden gedragen door alle
burgers. (...) Het gemak waarmee dergelijke instrumenten beschikbaar zijn stelt cybercriminelen in staat om
in een snel groeiend tempo niet alleen burgers te bestelen, maar ook bedrijven en overheden” [Troels
Oerting - Hoofd van EC3 European Cybercrime Centre].
Cybercriminaliteit heeft zich inmiddels ontwikkeld tot een geheel nieuwe bedrijfstak. Er zijn
cybercriminele ketens ontstaan van gespecialiseerde bedrijven die samenwerken om grotere
en meer lucratieve doelwitten aan te vallen. Op de zwarte markten verhandelen
cybercriminelen onderling een heel arsenaal aan informationele producten en diensten
waarmee winstgevende doelwitten bestolen kunnen worden. Er worden informationele
producten verhandeld zoals creditcardnummers, gecompromitteerde bankrekeningen,
adressen, telefoonnummers, sociale zekerheidsnummers enz. Er wordt kwaadaardige software
aangeboden en botnets verhuurd om de meest uiteenlopende malware en spam te verspreiden.
Er worden kogelvrije serverruimtes voor hosting van criminele sites verhuurd en hackers en
wachtwoordkrakers bieden zich aan om tegen betaling het vuile werk opknappen [Interpol
2011; MacAffe, Cybercrime Exposed].
Handel in exploitatiecodes
Een exploitatiecode (‘exploits’) is een scriptcode waarmee de kwetsbaarheden in een
programma kan worden misbruikt. Op internet zijn er speciale marktplaatsen waar
cybercriminelen exploitatiecodes verkopen en kopen. Daar worden voor zeer hoge bedragen
methoden en technieken verhandeld waarmee misbruik gemaakt kan worden van
kwetsbaarheden (bugs) in hard- en software. Daarbij gaat het vooral om zwaktes die nog
niet publiek bekend zijn, de zgn. Zero Day Exploits (ZDE).
kwetsbaarheden en naar verbeteringen van oudere exploits waardoor deze weer bruikbaar zijn. Zij
verzamelen in het bijzonder lekken in browser plug-ins [Webwereld 8.1.13].
De Blackhole Exploit Kit (BEK) was een succesvolle malware toepassing die werd gelanceerd op een
ondergrond Russisch hackersforum. BEK was te huur en kon computers met alles besmetten wat maar
kwaadaardig is: van valste antivirus en ransomware tot Zeus en de beruchte TDSS en ZeroAccess rootkit,
die zowel Windows, OS X en Linux aanvallen. De innovatieve makers van BEK bieden gratis updates. TDSS
is een ‘onverwoestbare’ rootkit die zich diep in het besturingssysteem nestelt en ook de malware van
concurrenten weet uit te schakelen.
Exploit kits zijn de meest gebruikte methodes voor infectie van computers. De meest populaire bouwdozen
zijn Pony, (Sweet) Orange, Magnitude en Nutrino. De producten van Java en Adobe zijn nog steeds de
primaire doelwitten die ge�xploiteerd worden — 90% van de exploits werken via kwetsbaarheden in Java.
Een botnet kan eenvoudig worden geconstrueerd door het kopen van een software
ontwikkelingsprogramma dat op het internet beschikbaar is voor $1.500 tot $3.000.
Daarmee kan vervolgens spam worden verstuurd, DDoS-aanvallen worden gelanceerd,
clickfraude worden gepleegd, creditcard gegevens worden gestolen of gijzelingspremies
worden geïncasseerd.
Steeds meer worden deze botnetdiensten echter ingehuurd bij gespecialiseerde criminelen
die tegen vaste tarieven cyberaanvallen lanceren. De economie van de botnets ziet er
ongeveer als volgt uit.
Aspect Kosten per 10.000 cliënten
Cliënt acquisitie $400 tot $1.000
DDoS-aanval (per uur) $100 tot $200
DDos-afpersing $10.000 per cliënt
Spam emails $0,50 tot $1,50
Klikfraude $1,500
Adware $3.000 tot $15.000
Sinds begin 2013 dalen de prijzen voor botnets aanzienlijk als gevolg van het grote aanbod.
De startprijs voor een Amerikaans botnet is gedaald van 200 naar 120 dollar. Dit een teken
dat de markt volwassen is geworden en niet meer is voorbehouden aan experts [Webroot].
De verschillende prijzen die voor bepaalde landen worden betaals is afhankelijk van de
waarschijnlijkheid dat kwaadaardige softer door doelwitten in dat land gedownload en
geopend wordt. Dit bepaald immer de kans dat cybercriminelen toegang krijgen tot
hoogwaardige vertrouwelijke informatie (zoals creditcard nummers en wachtwoorden) en tot
sites en netwerken van ondernemingen.
Roterende proxies
Criminelen gebruiken botnets ook om hun identiteit op internet af te schermen. Er zijn speciale online
diensten die cybercriminelen hiervoor kunnen inhuren. De dienst bestaat uit een webinterface waarmee
criminelen zelf een manier kunnen kiezen om hun identiteit te verbergen. Daarbij wordt gebruikt gemaakt
van besmette computers als proxies. Wanneer meerdere besmette computers aan elkaar worden
gekoppeld, wordt het voor opsporingsdiensten nog lastiger om de dader van een cybermisdrijf op te
sporen. Criminelen kunnen met behulp van de software op eenvoudige wijze de gebruikte proxies laten
wisselen en roteren.
Voor het gebruik van 150 proxies per maand betalen cybercriminelen $25. Voor 1.500 proxies wordt per
maand iets meer dan $95 betaald.
Ook de kosten van het anonimiseren van de internetactiviteiten van cybercriminelen worden steeds lager
[Dancho Danchev, 20.3.13; Security.nl, 23.3.13]. Een voorbeeld van zo’n proxy verhuurder is het sinds
2004 onder verschillende namen opererende Foxy Proxy. Zie ook de lijst van The Proxy Bay.
Omdat er steeds meer servers en databases met gevoelige gegevens worden gehackt, dalen
de prijzen voor gestolen inloggegevens of persoonsgegevens. In 2011 wat een
bankrekening net zevenduizend dollar te koop voor $300. Twee jaar later krijgt men voor
dat bedrag al de inloggegevens van een bankrekening waar driehonderduizend dollar op
staat. Een compleet dossier met persoonlijke gegevens koste in 2011 nog $60, nu slechts
$25 [Secureworks, 18.11.13; BBC 17.12.13].
In 2001 kwam een groep van 150 Russisch-sprekende crackers bijeen in een restaurant in Odesse of
CarderPlanet op te richten. Het groeide uit tot een van de meest beruchte websites voor fraude met
creditcard gegevens.
Roman Vega (aka BOA) was de administrateur van CarderPlanet die opgezet was langs de lijnen van La
Cosa Nostra, met een Godfather (Dimitry Golubov) en daaronder een aantal Don, waaronder Vega [bron].
Onder Vega’s leiding werd CarderPlanet een van de drukste zwarte cybermarkten voor de verkoop van
gestolen financi�le informatie, hacking en witwaspraktijken. Vega werd in februari 2003 gearresteerd toen
hij de relatief veilige haven van zijn geboorteland Oekra�ne verliet om naar Cyprus te reizen. Op zijn
laptop werden een half miljoen data van creditcards van 7.000 verschillende financi�le instellingen
aangetroffen. In 2013 werd Vega in de VS veroordeelt tot 18 jaar gevangenisstraf.
Voor de verkoop van creditcard informatie ontwierp Vega een kwaliteitscontrole systeem dat ervoor moest
zorgen dat de fraudeurs niet bestolen werden door hun medefraudeurs. Verkopers moeten aantonen dat
hun creditcards origineel waren en niet eerder waren verkocht [ArsTechnica, 12.12.13; Gary Warner,
27.1.2014].
CarderPlanet werd een van de drukst bezochte online zwartemarkten met meer dan 6.000 leden. De site
fungeerde als internationaal platform van en voor creditcard dieven.
Malware in licentie
Op de zwarte cybermarkt zijn de meest uiteenlopende malware-varianten te koop en te
huur. Malwarecode waarmee delicten kunnen worden gepleegd kunnen door iedereen die de
weg weet te vinden worden aangeschaft. Virussen, Trojaanse paarden, Exploitkits, Rootkits
en Ransomware, alles is te koop of te huren.
Een voorbeeld van deze commerciële malware is Storm Worm. Commerciële malware
producenten leveren online ondersteuning om hun cybercriminele klanten te helpen de
instrumenten beter te gebruiken. Voor malware producenten zijn de risico’s gering. Hun
producten kunnen immers ook voor goede, legale doeleinden worden gebruikt. Zij worden
altijd geleverd met de disclaimer dat de software «alleen voor onderzoek» gebruikt mag
worden.
“Zou je graag zelf een beetje willen spioneren? Wil je er zeker van zijn dat je partner je niet bedriegt?
Schrijft je vriendin voortdurend sms’jes aan iemand en zegt ze dat die gericht zijn aan haar vriendin? Dan
is dit de juiste dienst voor u!”. Die dienst bestaat uit een Trojaans paard dat het mogelijk maakt om alle
inkomende en uitgaande sms-berichten te lezen. Kosten: 350 dollar.
De mobiele SMS-spion is kinderlijk eenvoudig aan het werk te zetten. Je stuurt met Skype een SMS naar
de telefoon van het slachtoffer. Dan komt er een MMS (de multimedial opvolger van SMS) aan. Wanneer de
MMS wordt geopend installeert het programma zich automatisch op de telefoon. Vanaf dat moment wordt
al het inkomende en uitgaande sms-verkeer van de telefoon van het slachtoffer verstuurd tegelijkertijd
naar jouw telefoon verstuurd. Het slachtoffer merkt er niets van [Trend Micro 2012:14].
Automatisering
De huidige generatie cybercriminelen heeft haar operaties in vergaande mate geautomatiseerd
om in minder tijd meer productief te zijn. Zij maken gebruik van malware en scripttechnieken
om de verschillende fases van hun scenario’s uit te voeren. Bij grotere operaties wordt gebruik
gemaakt van veelzijdige softwarepakketten (exploit kits) die verschillende functies verrichten
welke door de gebruiker kunnen worden gemodificeerd, gespecificeerd en gerecombineerd.
Bijvoorbeeld:
het maken van een botnet;
het stelen van gegevens, certificaten en logo’s van online diensten;
het stelen van de beelden van checks van die diensten;
het printen van imitatiechecks;
het rondneuzen op banensites om e-mail adressen te vinden van baanzoekers;
het spammen van die adressen om geldezels (money mules, katvangers) te rekruteren om vervalste checks
te inkasseren;
het rekruteren van de geldezels om de checks te inkasseren en de fondsen naar de rekeningen van de
cybercriminelen te sturen;
het versturen van vervalste checks naar de geldezels.
Iets goeds doen voor de mensheid er zelf nog geld mee verdienen ook. Dat is te mooi om waar
te zijn. In werkelijkheid maken criminelen geld over naar de rekening van de katvanger dat ze
van andere rekeningen hebben gestolen. De katvanger moet een deel van het bedrag opnemen
en via betalingskantoren zoals Western Union overmaken. Een gedeelte mag de katvanger zelf
houden.
De geldezels zijn meestal het haasje — hun pakkans is tamelijk groot. Zij draaien op voor de
schade en kunnen strafrechtelijk worden vervolgd [NVB; Security.nl, 24.6.11; Security.nl,
6.4.12].
bbb
Een versleutelt bestand kan niet worden uitgevoerd totdat het ontsleuteld is. Als onderdeel van
het encryptieproces wordt er een stub toegevoegd aan het versleutelde bestand. Een stub is
een stukje code dat gebruikt wordt om een ge�ncrypteerde kwaadaardige code weer te
decoderen. De stub keert het proces om dat gebruikt is om het orginele bestand te
versleutelend, extraheert het en zet het om in een uitvoerbaar programma. Als de malware
eenmaal gedecrypteerd is door de stub kan het gelanceerd worden en beginnen om schade te
berokkenen.
Bij een statistische encryptie worden verschillende stubs gebruikt om elk ge�ncrypteerd
bestand uniek te maken. Als er een stub ontdekt wordt door beveiligingssoftware dan moet
deze worden gemodificeerd (‘cleaned’').
Bij polimorfe encryptie wordt gebruik gemaakt van geavanceerde algotismes die random
variabelen, data, sleutels, decoders etc. gebruiken. Een input bronbestand produceert nooit
een output bestand dat identiek is aan de output van een ander bronbestand. Dit wordt bereikt
door verschillende algoritmes te gebruiken.
�You give me an .EXE and any ordinary .PDF file (if you don�t have one, I can use a blank .PDF or my own)
that should be shown to the user. I will stitch them together and give you a toxic .PDF file. When it�s
opened, the .EXE and .PDF are extracted and the toxic .PDF is replaced by the ordinary .PDF and displayed to
the user. This service costs US$420� [Trend Micro 2012:2].
Cybercriminelen versleutelen hun communicatie om te ontsnappen aan het wakend oog van
rechthandhavers. De kwaliteit van de encryptie is tegenwoordig zo hoog dat onderschepte
berichten slechts met grote en langdurige inspanning ontcijferd kunnen worden. Het versterken
van kennis van cryptografische technieken en van vaardigheden om versleutelde berichten te
identificeren en te ontsleutelen heeft daarom voor digitale recherchediensten een hoge
prioriteit.
Dedicated server
Om hun anonimiteit te bewaren maken cybercriminelen gebruik van een dedicated server. Dat
is een fysieke server die door de hosting provider in een serverkast in een datacentrum wordt
geplaatst, en die de klant niet met anderen deelt. Ze kan voor diverse kwalijke activiteiten
worden gebruikt, zoals het kraken van wachtwoorden (brute forcing) en zwendel met
creditcards (carding).
Deze activiteiten doet de cracker bij voorkeur niet op zijn eigen machine. Om op een veilige
manier downloads van malware te genereren gebruiken cybercriminelen meestal dedicated
servers of bulletproof providers om internetverkeer naar webpagina te sturen die ge�nfecteerd
zijn met een giftige exploitatiecode. Omdat de dedicated server wordt benaderd via VPN wordt
de anonimiteit van de dader gewaarborgd.
Daarom is er op de zwarte cybermarkt veel vraag naar dedicated servers. Hosting providers die
zichzelf als bulletproof aanprijzen stellen cybercriminelen in staat om elk soort materiaal op een
site te plaatsen zonder angst om uit de lucht gehaald te worden [Threatpost, 24.9.14].
Beheerders van botnets en de crimeware bendes achter banking Trojans hebben veel succes
behaald met het gebruik van bulletproof providers als hun belangrijkste operatiebasis. Maar
inmiddels hebben cybercriminelen ontdekt dat sociale netwerken zoals Facebook en Twitter een
nog vruchtbaarder en gemakkelijker grond is voor het controleren van hun malware. Zij
gebruiken sociale netwerken als commando & controle mechanismen voor hun malware.
Wanneer er een nieuwe computer wordt ge�nfecteerd met crimeware (zoals een Trojaans paard) dan wordt
eerst het profiel benaderd en gecontroleerd op nieuwe commando’s. Het specifieke commando begint met een
reeks willekeurige tekens die dienen als authenticiteitsmechanisme waardoor het Trojaans paard weet dat het
de juiste commando’s heeft gevonden. De rest van de ge�ncrypteerde reeks zijn hard-coded instructies die
het Trojaanse paard vertellen wat het vervolgens moet doen, zoals zoeken naar andere machines in het
netwerk, zoeken naar bewaarde data of registreren van toetsaanslagen wanneer de gebruiker een specifieke
online banksite bezoekt.
Cybercriminelen maken vaak tientallen of honderden van deze profielen aan. Als er een zo’n profiel ontdekt
wordt en uit de lucht wordt gehaald, dan gaat de malware automatisch door naar het volgende profiel.
Terwijl bezoekers naar de advertenties in een video kijken wordt heimelijk de Sweet Organge exploitkit
geladen, die misbruik maakt van bekende lekken in Java, Internet Explorer en Adobe Flash Player die door
deze bezoekers nog niet waren gedicht.
Om opsporing te voorkomen wijzen de advertenties niet direct naar de exploitkit, maar wordt het verkeer via
twee advertentiesites geleid. Vermoedelijk hebben de cybercriminelen achter deze aanval hun verkeer gekocht
van legitieme advertentie providers. Om hun activiteiten een legitiem tintje te geven maakten ze gebruik van
de aangepaste DNS-gegevens van een Poolse overheidssite. Op een of andere manier manipuleerden de
cybercriminelen de DNS-gegevens zodat er subdomeinen aan werden toegevoegd die naar hun eigen servers
wezen.
De kwaadaardige advertenties waren bij verschillende populaire video’s te zien. Zij stonden op video’s met
meer dan 11 miljoen views — met name een muziekvideo die door een bekend platenlabel was geplaatst. Bij
een succesvolle aanval werd een variant van het Kovter-ransomware ge�nstalleerd. Bij deze
afpersingsmethode wordt de computer van het slachtoffer vergrendeld met de mededeling dat de gebruiker
een misdaad heeft begaan en een boete moet betalen om weer toegang te krijgen.
Alleen al in de VS werden binnen 30 dagen al meer dan 113.000 slachtoffers gemaakt. [TrendMicro, 14.10.14].
Proxyserver
Een proxyserver is een intermediare computer die fungeert als een tussenschakel tussen een
computer en het internet. Proxyservers kunnen voor diverse doeleinden worden gebruikt. Ze
versnellen de overdracht van data en filteren het verkeer. De belangrijkste reden waarom zij
door cybercriminelen worden gebruikt, is dat zij anonimiteit verzekeren. De doelserver ziet
alleen het IP-adres van de proxyserver en niet die van de computer van de crimineel.
Een proxyserver kan worden gekocht of gehuurd, maar kan ook worden gestolen.
Cybercriminelen maken vaak gebruik van Trojaanse paarden die aan internet verbonden
computers transformeren in proxyservers.
Fast flux is een DNS-techniek die gebruikt wordt door Double Flux
Het meest geavanceerd zijn de criminele
botnets om de commando en controle server die
netwerken die gebruik maken van de double
kwaadaardige software verspreiden en flux-techniek. Hierbij wordt ook het ip-adres
van de Authoritive Name Server constant
hengeloperaties aansturen te verbergen achter een
gewijzigd. Deze netwerken worden
telkens veranderend netwerk van gecompromitteerde aangestuurd door enkele flux-motherships
computers die als proxies fungeren. Op deze wijze [Honeynet Project, 18.8.08; Tweakers,
19.7.07].
worden een groot aantal IP-adressen verbonden met
��n enkele domeinnaam, waarij deze adressen met extreem hoge frequentie worden
uitgewisseld. Door deze constant wisselende achitectuur wordt het nog moeilijker om het
criminele netwerk te identificeren of te lokaliseren.
De meeste cybercriminelen weten echter ook dat dit geen volledige anonimiteit kan
garanderen. Ondanks de beloftes van proxyserver hosters worden er in die servers toch
logboeken bijgehouden.
direct of indirect geld gestolen kan worden. De crimineel die zijn malware (meestal Trojaanse
paarden), spyware, ransomware etc. wil verspreiden, betaalt de geaffilieerden een commissie
voor elke keer dat zij erin slagen om een computer, laptop of smartphone te infecteren. De
geaffilieerden versturen met malware vergiftige e-mails, sms- en mms-jes, foto’s en video’s,
bestanden en spelletjes, programma’s naar liefst zo veel mogelijk doelwitten.
In het criminele PPI-bedrijfsmodel werkt een PPI-site samen met duizenden geaffilieerde
partners om kwaadaardige software te verspreiden. De geaffilieerden worden betaald op basis
van het aantal malware infecties dat zij produceren. Om grote aantallen computersystemen te
infecteren wordt gebruikt gemaakt van botnets. Via het controlesysteem van de bot krijgen
gecompromitteerde computers de instructie om een softwarepakket van een geaffilieerde PPI-
bron te installeren [SecureWorks, 29.9.09].
Een klassiek voorbeeld van een criminele PPI-site is Pay-Per-Install.org. Deze site fungeerde
ook als forum en marktplaats waar cybercriminelen delibereren over welke PPI-programma’s de
hoogste winsten genereren.
Cybercriminele casu�stiek
Een andere manier om de malware te verspreiden was door het gebruik van drive-by
downloads. De malware wordt verspreid door websites die bekende kwetsbaarheden in
webbrowsers en hun plugins exploiteren. Bij gebruikers die zo’n besmette site bezoeken wordt
automatisch de malware op hun computer geplaatst zonder dat ze er erg in hebben.
Bredolab had meer dan 30 miljoen zombie-computers in zijn macht, die vanuit servers in
Nederland ge�nfecteerd waren.
De hoofdinkomsten van het botnet was het verhuur van delen van het botnet aan derden, die
de ge�nfecteerde systemen voor eigen doeleinden konden gebruiken (scareware, malware,
spam etc). De eigenaar van het botnet maakte $139.000 per maand [Kirk, 29,10.10].
Op 25 oktomer 2010 maakte het Openbaar Ministerie bekend dat zij erin geslaagd was om het
Bredolab botnet neer te halen. In totaal werden er 147 servers afgesloten bij een
hostingprovider in Haarlem. Een dag nadat Bredolab was opgerold, werd het vermeende brein
van het virus aangehouden, een zevenentwintigjarige Armeni�r [OM, 26.10.10].
Toen Bredolab botnet bij een Nederlandse hosting provider uit de lucht werd
gehaald, deed de Armeni�r Georgy Avanesov verschillende pogingen om de
controle over het botnet terug te krijgen. Toen dat mislukte deed hij een massale
aanval met 220.000 besmette computers op het systeem van de hosting provider.
Deze DDoS-aanval kon worden be�indigd doordat in Parijs drie servers die de
verdachte bij deze aanval inzette, werden afgesloten van het internet.
Na de ontmanteling kraakten het Team High Tech Crime (THTC) en gelegenheidspartner Fox-IT
de infrastructuur van Bredolab, zodat het Openbaar Ministerie via dat netwerk
waarschuwingsberichten kon versturen aan slachtoffers van het virus. Meer dan 100.000
computergebruikers werden gewaarschuwd dat hun computer deel uitmaakte van een botnet
en kregen instructies hoe zij Bredolab van hun computer konden verwijderen.
De KLPD had al twee maanden voordat het tot actie overging weet van Bredolab. Toch werd de
hostingprovider gevraagd de servers draaiende te houden, waardoor het besmetten van
computers gewoon doorging. Volgens het OM was dat nodig om erachter te komen wie de
verantwoordelijken waren. Critici vroegen zich af of het OM hier niet te ver was gegaan.
Hoewel de belangrijkste servers in het Bredolab botnet zijn platgelegd, is een deel van het
netwerk nog levend en zijn een aantal commadoservers in Kazachstan en Rusland nog intact
[The Register, 29.10.10].
Criminele telefoonhengelaars
Het is niet altijd makkelijk om criminele hengelaars te vangen. Maar toch slaagde de politie erin
een Nederlandse bende te arresteren die zich toelegde op het hengelen naar inloggegevens om
daarmee bankrekeningen leeg te halen (phishing].
Het doelwit van de bende waren vooral oudere bestuursleden van verenigingen en stichtingen
in dorpen en kleine steden. Zij werden grootschalig telefonisch benaderd om hun
Virginia E. verrichtte het belwerk en waabij ze zich voordeed als bankmedewerktster. Haar
partner Furgel R. regelde een netwerk van ronselaars die weer geldezels aanwierven. Een van
deze ronselaars was Ricardo G. [Volkskrant, 21.10.13].
Op 21 oktober 2013 werd aan drie leden van de criminele organisatie door de rechtbank in
Haarlem gevangenisstraffen opgelegd. De hoogste straffen waren voor Furgel R. (34) uit
Diemen en zijn partner Virginia E. (34) uit Amsterdam. Zij werden veroordeeld tot 32 maanden
cel, waarvan de helft voorwaardelijk. Ricardo G. (25) uit Den Helder moet 10 maanden zitten.
Omdat de rechtbank op onderdelen van de aanklachten vrijspraak verleende, vielen de straffen
lager uit dan de eisen (die opliepen tot 4 jaar).
De romantische fraudeurs kopi�ren vaak een goed geschreven profiel van iemand anders om
hun slachtoffers te lokken. Zij poseren als vrouwen die de kenmerken hebben die hun
slachtoffers aantrekken, maar zijn niet allemaal super aantrekkelijk of jong.
Nadat er contact is gelegd met een slachtoffer wordt er via e-mail, chatrooms en sms-jes een
vertrouwensband opgebouwd. Vervolgens wordt al snel om een gunst gevraagd. Zij heeft geld
nodig omdat haar kind geopereerd moet worden, omdat er een boze ex afgekocht moet
worden, omdat de begrafenis van een familielid betaald moet worden of omdat zij je wil
ontmoeten maar de paspoorten en visa’s niet kan betalen.
Op 29 mei 2014 arresteerde de politie in Sydney een 39-jarige alleenstaande moeder voor een
romantische zwendel van oudere mannendie haar meer dan $1,86 miljoen opleverde. Zij zocht
de mannen op in datingsites. De nadat ze de mannen wanhopige verhalen vertelde vroeg zij
hen om geld te storten op haar bankrekening. Ze vertelde hen bijvoorbeeld dat haar kind een
operatie nodig had die zij niet kon betalen, of dat er een familielid in Egypte was overleden en
dat zij geld nodig had voor de begrafenis. De vrouw leefde van een uitkering maar leidde een
lux leven met sportauto’s, vakanties, dure handtassen en plastische chirurgie [SMH, 30.5.14].
Zie voor uitvoerige informatie over romantische en datingfraude: Romance Scams Now
Het nummer 419 verwijst naar het artikel van het Nigeriaanse strafrecht dat over fraude gaat.
Er zijn diverse vormen van voorschotfraude die er allemaal op gericht zijn om de slachtoffers
geld afhandig te maken. Bekende voorbeelden zijn de Afrikaanse dictator die steun vraag om
een grote som geld van zijn bankrekening te halen,
Oplichters treiteren
Nog steeds worden talloze internetgebruikers het slachtoffer van Nigeriaanse oplichters [Security.nl, 21.1.14].
Mensen die het zat zijn besloten terug te vechten door de oplichters zelf op te lichten. Zij gaan in dialoog met
de oplichters om hun tijd en bronnen te verkwisten waardoor zij minder tijd hebben voor echte potenti�le
slachtoffers. Scam baiting werd een favoriet tijdverdrijf voor vele internetters [Security.nl, 15.5.09; Scam
Eater; ScamORama].
Het treiteren van oplichters kan een gevaarlijke hobby zijn. Oplichters zijn criminelen. Het is bekend dat zij
“blabla” [Generaal-majoor].
Sinds een aantal jaren is cybercriminaliteit veranderd van een obscuur nevenverschijnsel in een
steeds groter wordend veiligheidsprobleem voor consumenten, ondernemers en staten.
Cybercriminaliteit is omvangrijk, snel groeiend, hoog ontwikkeld en uiterst lucratief. De vraag
naar gemakkelijk geld is veel groter dan het aanbod. Een aantal criminelen doen het zeer goed,
maar voor de meerderheid is het een medogenloze strijd om kleine winsten [NYT, 15.4.12].
zo’ $445 miljard tot $1 biljoen (1012). Dat is 15% tot 20% van de totale waarde die door het
internet wordt gecre�erd [Net Losses: Estimating the Global Cost of Cybercrime, 2014]. Hier
kritische noot: Wired, 1.8.12.
Het Center for Strategic and International Studies (CSIS) en het computerbeveiligingsbedrijf
McAfee berekenden in 2014 dat criminele hackers de internationale economie jaarlijks zo’n 445
miljard dollar schade berokkent (met een minimum van $375 miljard en een maximum van
$575 miljard).
De kosten van diefstal van intellectueel eigendom van de Amerikaanse bedrijven worden door
Symantec geschat op $250 miljard per jaar.
Europa
Volgens de Bijzonder Comissie georganiseerde misdaad, corruptie en witwassen (CRIM) van het
Europese Parlement veroorzaakt cybercriminaliteit in Europa 290 miljard euro per jaar [Der
Spiegel, 13.10.13].
Nederland
Volgens een verkennend onderzoek van het TNO kost @@@
TNO baseert zich op de uitkomst van een Brits
cybercrime de Nederlandse samenleving jaarlijks
onderzoek in opdracht van het ministerie van
tenminste tien miljard euro, dat is 1,5% tot 2% van binnenlandse zaken. Die resultaten zijn
geschaald naar de situatie in Nederland.
ons bruto binnenlands product (bbp). De
onderzoekers van het TNO beschouwen dit getal als een ondergrens. De werkelijke kostenpost
zou zelfs een factor twee tot drie hoger kunnen liggen (zie bijvoorbeeld het onderzoek van
De schade die de Nederlandse economie oploopt als gevolg van digitale diefstal is relatief hoog.
Dat hebben we vooral te danken aan onze relatief hoge dichtheid in bekabeling, de
geavanceerde digitale infrastructuur, de relatief grote hoeveelheid dataverkeer en het open
karakter als handelsnatie.
Volgens Eurostat worden Nederlandse bedrijven vier keer vaker door cybercrime worden
getroffen dan Britse (vergelijk ook het onderzoek van Detica in opdracht van het Britse
ministerie van Binnenlandse zaken).
Van de totale schade komt 75% voor rekening van het bedrijfsleven; 15% komt op de rekening
van de overheid en de burger draait op voor 10%. De drie grootste schadeposten die onder de
noemer cybercrime vallen, zijn inbreuken op intellectueel eigendom (3,3 miljard euro),
industriële spionage (2 miljard) en belasting- en uitkeringsfraude (1,5 miljard). Andere
schadeposten bij het bedrijfsleven zijn afpersing en online diefstal van geld en van
klantgegevens (tussen de half miljard en een miljard euro). Bij de consument gaat het om
diefstal van persoonlijke gegevens en om phishing.
Lastige calculaties
Het is lastig om een enigszins nauwkeurige schatting te maken van de kosten van
cybercriminaliteit. Een van de variabelen die zich moeilijk laat kwantificeren is de diefstal van
intellectueel eigendom. Landen waarin het creëren van intellectueel eigendom belangrijk is
voor economische progressie verliezen door cybercriminaliteit meer handelscontracten, banen
en inkomen. Dit type cyberspionage heeft echter ook aanzienlijke gevolgen voor de nationale
veiligheid. Diefstal van militaire geheimen kost een bestolen natie aanzienlijk meer dan de
monetaire waarde van deze militaire technologie. Hetzelfde geldt voor het stelen van
vertrouwelijke bedrijfsinformatie zoals informatie over investeringen, voorgenomen fusies of
overnames, onderzoeksdata, en gevoelige informatie over zakelijke onderhandelingen.
Professionele cybercriminelen verkopen dergelijke informatie aan concurrerende
ondernemingen, maar gebruiken ze ook voor moeilijk te traceren manipulaties van de
aandelenmarkt. Tenslotte maken lang niet alle bedrijven melding van een digitale inbraak en
van de schade die zij hiervan ondervinden. Slechts 44% van de bedrijven die slachtoffer zijn
maken melding van de cyberaanval.
Onder de schade van cybercriminaliteit vallen ook de alternatieve kosten (opportunity costs) en
de herstelkosten (recovery costs).
Alternatieve kosten - waarde van gemiste kansen (‘forgone activities’). Er zijn drie
Zwarte cybermarkt
De handel op de zwarte cybermarkt is nu meer rendabel dan de illegale drugshandel. Een
breed spectrum van cybercriminelen heeft virtuele etalages op het web gezet om
databestanden en malware te kopen en te verkopen.
Het is een netwerk van sterk georganiseerde groepen die vaak verbonden zijn met traditionele
criminele bendes, zoals drugkartels, mafia’s, terroristische cellen en natiestaten [RAND 2014]
In veel opzichten lijkt het op een traditionele markt: de deelnemers communiceren via diverse
kanalen, plaatsen orders en ontvangen producten. Niet alleen opbrengsten van cyberinbraken
verhandeld, maar ook hackinginstrumenten (malware) en diensten. Er worden diensten
De transactie in de zwarte cybermarkt worden vaak afgehandeld met digitale valuta zoals
Bitcoin, Pecunix, AlertPay, PPcoin, Litecoin and Feathercoin. Veel criminele sites accepteren
alleen digitaal cryptogeld vanwege hun anonimiteit en veiligheidskenmerken.
Tegelijkertijd wordt er op de zwarte cybermarkt malware verhandeld die gericht is op het stelen
van bitcoin en andere digitale valuta. Aanvankelijk infecteerde criminelen de computers van
hun slachtoffers en gebruikten ze voor het delven van bitcoins. Maar deze methode is nu veel
minder effectief — diefstal van bitcoins belooft cybercriminelen grote winsten en volledige
anonimiteit. Bij aanvallen op bitcoinbeurzen is de kosten-tot-inkomsten verhouding nog veel
gunstiger [SecureList, 25.9.14].
Omdat er steeds meer diensten zijn waar de bitcoins kunnen worden witgewassen (bitwassen)
wordt het voor opsporingsdiensten veel moeilijker om gestolen fondsen te achterhalen.
Concurrentie
De markt waarop cybercriminelen operen is een ‘high profit, low risk’ markt. Zo’n markt trekt
snel nieuwe concurrenten aan die ook op zoek zijn naar een deel van de buit. De meeste
misdaden die EC3 onderzoekt worden begaan door Russisch sprekende criminele netwerken.
Het lijkt erop dat de Russen de dienst uitmaken. In fraudezaken spelen ook Roemeense en
Bulgaarse bendes en rol. Maar ze krijgen snel concurrentie van criminele bendes uit andere
continenten. De verwachting is dat criminelen uit Azi�, Afrika en andere continenten ook in de
markt stappen. Oost-Europeanen, vooral uit Russisch-sprekende landen, waren in 2013
verantwoordelijk voor 21% van de gevallen van cyberspionage. Op dat vlak worden ze al
voorbijgestreefd door de Aziatische hackers. Die zijn goed voor 49% van de aanvallen.[Verizon
2014; Trouw, 8.8.14].
Specialisatie
Veel Vietnamese criminele bendes concentreren zich op hacks van e-commerce; de criminelen
uit Rusland, Roemeni�, Litouwen en Oekra�ne focussen op financi�le instellingen, terwijl
Chinese cybercriminelen zich specialiseren in intellectueel eigendom en in online gaming
platforms.
Meer en meer transacties verschuiven naar particuliere virtuele netwerken en het darknet.
Daarbij wordt nog meer gebruik gemaakt van encryptie- en anonimiseringstechnieken die de
toegang tot de meest geavanceerde delen van de zwarte markt tr beperken.
Het diepe web representeert 90% van het internet. Het bevat grote hoeveelheden informatie
die niet door zoekmachines kunnen worden gecatalogiseerd. Als je het juiste adres van de
darksites niet weet, zul je ze nooit vinden. Het is niet makkelijk om deze adressen te
onthouden omdat de URLs bewust zeer ingewikkeld zijn gemaakt (bijvoorbeeld
www.SdddEEDOHIIDdddgmomiunw.onion).
Het diepe web bestaat uit particuliere intranetten die met wachtwoorden zijn beschermd en uit
documenten die in formaten zijn geschreven die niet kunnen worden geïndexeerd.
Het diepe web is onzichtbaar en is daarom een zeer aantrekkelijke locatie voor activieiten die
het licht niet kunnen verdragen: kinderporno, handel in creditcard, wapens, drugs en mensen,
huurmoordenaars, prostituees etc. Het diepe web is de grootste zwarte markt die er ooit heeft
bestaan. Cybercriminelen komen samen op private webfora met beperkte toegang.
Het belangrijkste ingang tot het diepe web is TOR TOR is weliswaar de meest gebruikte, maar
niet de enige ingang tot het darknet. Andere
(The Onion Router). TOR encrypteert de
diensten zijn Freenet en het Invisible Internet
gebruikersinformatie in diverse lagen (net als een ui) Project (I2P). Deze diensten bieden
vergelijkbare mogelijkheden voor
en verstuurt het naar een uitgebreid netwerk van
anonimisering, hoewel zij andere protocollen
vrijwillige servers die in de hele wereld verspreid zijn. hanteren. Freenet is een volledig
Hierdoor wordt het bijna onmogelijk om gebruikers op gedecentraliseerd peer-to-peer system (P2P).
I2P is een open source anoniem
te sporen of de informatie die zij uitwisselen. Het is communicatienetwerk dat bovenop het
een byzantijns systeem van virtuele tunnels die de gewone internet werkt (‘overlay network’).
Net als bij TOR wordt de communicatie via
oorsprongen en bestemmingen van data verbergen en meerdere tussenliggende computers gestuurd
dus de identiteit van de gebruikers. en in telkens nieuwe lagen ge�ncrypteerd.
Het Tor-netwerk stelt internetgebruikers in staat om hun IP-adres te verbergen. Het verkeer van Tor-
gebruikers loopt over meerdere computers, die relays of nodes worden genoemd. Om het Tor-netwerk te laten
draaien zijn er drie soorten relays: middle-relays, exit-relays en bridges.
De eerste twee relays waarover het verkeer van een Tor-gebruiker loopt zijn middle-relays. Hun enige functie
is om bijvoorbeeld het verzoek om een website op te vragen en aan een andere relay door te geven. Hoewel
middle-relays zich kenbaar op het Tor-netwerk maken, wordt hun IP-adres niet getoond. Het is dan ook vrij
veilig om een middle-relay op te zetten.
De exit-relay is de laatste schakel in de keten waarover het verzoek loopt voordat het de uiteindelijke
bestemming bereikt. Exit-relays maken zich aan het hele Tor-netwerk kenbaar. Hun IP-adres is het enige IP-
adres dat de bestemming ziet, ook al is dit niet het IP-adres dat als eerste de website opvroeg. Beheerders
van een Tor exit-relay kunnen door de politie worden opgepakt. Deze exit-nodes zijn echter essentieel voor het
Tor-netwerk.
Tenslotte zijn er nog de bridges, relays die niet als onderdeel van het Tor-netwerk zichtbaar zijn. Bridges
fungeren vooral als middel om censuur in landen te omzeilen die bekende Tor-relays blokkeren, zoals China.
Het draaien van een bridge is temakelijk veilig. Zonder al deze relays kan het Tor-netwerk niet functioneren.
Oorsprong
Tor werd in 2001 ge�ntroduceerd door programmeurs van MIT en het U.S. Naval Research Laboratory op een
beveiligingsconferentie in Californi�. Het Tor Project is verder ontwikkeld met steun van de Amerikaanse
overheid. In 2010 was het programma al meer dan 36 miljoen keer gedownload. Het wordt vooral gebruikt
door vredesactivisten, mensen- en burgerrechten activisten, journalisten en militairen.
Een voorbeeld daarvan is het in 2011 gelanceerde Silk Road, een geheim web voor de koop en
verkoop van allerlei soorten drugs. Naar schatting gaat er in Silk Road jaarlijks $22 miljoen om.
Politiediensten stelden alles in het werk om deze illegale handel te stil te leggen. Hier en daar
werden er transacties onderschept, maar het is bijna onmogelijk om het netwerk te
ontmantelen of de gebruikers daarvan te traceren.
In oktober 2013 slaagde de FBI erin om om Silk Road tijdelijk te sluiten. Maar in november
2013 was Silk Road 2.0 weer online.
Digitaal sporenonderzoek
In de virtuele werkelijkheid zijn er geen rokende wapens, geen voet- of vingerafdrukken die
een indicatie geven over wie een misdaad heeft begaan, en hoe het delict is uitgevoerd. De
opsporing van cybercriminelen verloopt primair door het achterhalen en vastleggen van digitale
sporen.
Digitale sporen
Als er bij een cybermisdaad gebruik is gemaakt van een infecterende USB-stick dan kan
deze op DNA-sporen of vingerafdrukken worden gecontroleerd. En als je weet welke
computer gebruikt is, kun je daarmee hetzelfde doen. In beide gevallen is forensisch
onderzoek echter zeer lastig.
Ten eerste moet het apparaat zelf worden geïdentificeerd. Als dat ooit gevonden wordt dan
gebeurt dat pas veel later als de meeste sporen al verdampt zijn. Zelfs als de computer
waarmee het delict is begaan gelokaliseerd wordt, dan is dat meestal niet de computer van
de crimineel zelf, maar een door de crimineel gehackte computer.
Ten tweede hebben forensische onderzoekers niet zoveel tijd als de crimineel:
cybercriminele operaties worden meestal weken of maanden voorbereid en worden
vervolgens bliksemsnel uitgevoerd. De verdediging heeft voor het traceren van de sporen
slechts een paar ogenblikken. De verbindingen tussen de aanvallende computer en een
doelcomputer zijn meestal van erg korte duur. Na de aanval wordt de verbinding verbroken
en de computer van het internet ontkoppeld.
Mobiele sporen
Sporen van mobiele telefoons: de zendmast ziet u Digitale voetsporen
Bevoegde autoriteiten kunnen telecomproviders verplichten om verkeersgegevens lten af te
staan voor opsporing en veroordeling van individuen die van een misdaad worden verdacht.
Daarbij gaat het over (a) wie met wie belt en sms'’t vanaf welke locatie en hoe lang; (b) wie e-
mailt met wie en hoe regelmatig; (c) wie bezoekt welke websites, discussiefora, databanken en
welke trefwoorden worden in zoekmachines ingevoerd.
Van élke techniek en élke vorm van digitale communicatie kunnen álle soorten
verkeersgegevens worden opgeslagen en verzameld. Het gebeurt bij alle apparaten die we
dagelijks gebruiken: computer, laptop, tablet, mobiele telefoon en smart-tv. Alle digitale
communicatievormen laten sporen na die als verkeersgegevens te traceren zijn. Dit geldt voor
elke website die je bezoekt, voor elke muisklik op het internet, voor elk bestand dat wordt
geup- of download, voor elke e-mail die verzonden of ontvangen is, voor elke bijdrage
(posting) op alle webfora, voor elk woord of beeld dat je ooit via een sociaal medium hebt
verspreid in je virtuele persoonlijke netwerk, voor elke persoon waarmee je ooit contact hebt
gehad via een van je mobiele communicatieapparaten, en voor elke plaats die je ooit op deze
globe hebt bezocht met je mobieltje op zak. Verkeersgegevens omvatten ook het ip-nummer
waarvan je gebruik maakt, de protocollen en programma’s je gebruikt, de merknaam, het type
en het serienummer van het apparaat dat je gebruikt, het volume van de communicatie enz.
enz.
Identificatie: attributieprobleem
Wie is verantwoordelijk - lastige attributie (zie cyberoorlog).
Wie profiteert?
Een cyberdelict wordt bijna altijd met een bepaald oogmerk of doelstelling gepleegd. Bij
cybercriminelen is dat per definitie geldelijk gewin, illegale zelfverrijking. De eerste vraag die
bij elke cybercrime gesteld moet worden is: wie profiteert ervan - Cui bono? [Cavelty/Rolofs
2012] Wat beoogt de crimineel met zijn cyberdelict te bereiken en wie profiteren daar nog
meer van?
Professionele cybercriminelen kunnen een aanval zo ensceneren dat deze er uit ziet als een
sabotageaanval van de Mossad op Iran of als een spionageaanval van de Chinese regering op
de wapenindustrie van de V.S. Op die manier worden de werkelijke oogmerken en de identiteit
discretie
gedocumenteerd (betrouwbaarheid)
uitlezen (NFI)
interpretatie
let op juridische en digitale mogelijkheden en grenzen.
Internettaps
Jaarlijks maakt de minister van Veiligheid en Justitie bekend hoeveel taps er door Nederlandse
opsporingsdiensten worden ingezet ten behoeve van de opsporing van strafbare feiten. Sinds
2010 wordt daarbij ook het aantal IP- en e-mail taps bekend gemaakt. [[Maar niet over het
aantal vorderingen bij sociale netwerken als Facebook en Twitter. Er worden totaalcijfers over
het opvragen van gegevens verstrekt, maar dit wordt niet opgesplitst naar sociale mediatype.
Het belang van opsporing en vervolging zou zich hiertegen verzetten, aldus staatssecretaris
Teeven [bron] Art. 126 WvS - internettap
TOR-netwerk
Het TOR-netwerk maakt het mogelijk om volledig anoniem te kunnen surfen op het internet.
Via het TOR-netwerk zijn op eenvoudige wijze drugs, wapens en kinderporno te verkrijgen.
Fast flux
Fast Flux is een DNS techniek die gebruikt wordt door botnets om phishing en malware delivery
sites te verbergen achter een telkens veranderend netwerk van gecompromitteerde hosts die
als proxies opereren. Malware varianten die gebruik maken van deze techniek zijn «Storm
Worm», «Warezov», «Alalanche» en «Wibimo»
Het basisidee is dat aan een enkele volledig gekwalificeerde domeinnaam (zoals
www.politieacademie.nl), een groot aantal IP-adressen verbonden worden. Deze IP-adressen
worden onderling in een hoog tempo uitgewisseld. Dit gebeurt door een combinatie van round
robin — een techniek die gebruikt wordt bij load balancing— en een extreem korte time-to-live
van een individueel DNS-record. Op die manier verwijst de hostname om de paar minuten naar
een andere computer. Deze computers zijn in de regel ge�nfecteerde computers van
thuisgebruikers die middels een botnet met elkaar verbonden zijn. [Honeynet Project, 16.8.08;
Tweakers.net, 19.7.07].
De detectie van een botnet kan nog moeilijker worden gemaakt wanneer er gebruik wordt
gemaakt van sterke encryptie. In het Wibimo-botwerk werd elke boodschap minstens tien keer
bewerkt met het encryptie-algoritme RC4. Hierdoor is de crypto-analyse van de code nog
moeilijker [Darkreading, 18.2.11].
Het gebruik van deze technieken maakt het opsporen en uitschakelen van criminele websites
een stuk moeilijker. Websites kunnen immers niet meer op basis van een IP-adres of via een
enkele internetprovider uit de lucht worden gehaald.
‘nee’. Het risico van uitlokking werd te groot geacht. Na inzet van dit middel zou het niet tot
een strafbare vervolging komen omdat de verdachte niet daadwerkelijk een minderjarige had
verleid.
Al in 2012 bepaalde het gerechtshof dat de inzet van agenten die zich op internet voordoen als
minderjarigen geen geschikt middel is bij de opsporing van grooming. In 2013 werd dit door
het gerechtshof Den Haag nog eens bevestigd.
In een aantal zaken (Cuijk en Amsterdam) waarin uiteindelijk verdachten zijn aangehouden,
had de politie allang informatie en aangiftes waarmee in eerste instantie niets werd gedaan.
Advokaten vragen zich af: “Als de bestaande mogelijkheden al niet benut worden, waarom dan
een nieuwe opsporingsmethode toevoegen?” [Sidney Smeets, VK, 16.1.14].
Om het kindsekstoerisme via de webcam in kaart te brengen gingen de onderzoekers van Terre
des Hommes undercover op chatrooms. Hiervoor werd een 10-jarig virtueel Filipijns meisje
ontwikkeld dat luisterde naar de naam Sweetie. Het computermodel was nauwelijks van echt te
onderscheiden. Sweetie praat en beweegt zonder dat je merkt dat het om een animatie gaat.
Via het virtuele Filipijns meisje spoorde de Terre des Hommes ruim
1000 kindermisbruikers op het internet op, waaronder 20
Nederlanders. De gegevens en daden van deze misbruikplegers,
uit meer dan 65 landen, werden op 4 november 2013
overgedragen aan Europol en Interpol met als doel om te worden
Sweetie - het virtuele lokmeisje
uitgewisseld met andere landen.
Europol was niet vooraf op de hoogte gebracht van het onderzoek van Terre des Hommes. Zij
waardeert de aandacht voor online kindermisbruik, maar maakt daarbij wel de kanttekening:
“Criminele onderzoeken, waarbij gebruik wordt gemaakt van indringende surveillance
De Sweetie-actie van Terre des Hommes toonde weliswaar het nut van de lokpuber aan. Maar
in de Sweetie-zaak zijn nog maar weinig verdachten vervolgd [NOS, 5.2.14;]. Omdat de
mannen het meisje zelf benaderden is er geen sprake van uitlokking. Maar omdat Sweetie niet
uit de kleren ging en geen geldtransacties plaatsvonden, is het juridisch niet eenduidig of het
hier om een strafbaar feit gaat. Het is hooguit sprake van een intentie om een kind virtueel te
misbruiken. Maar zelf dat is —zoals ook projectleider Hans Guijt constateert— ontzettend
moeilijk te bewijzen [Terre des Hommes, 15.12.13]. Virtuele seksuele contacten zijn alleen
strafbaar wanneer het slachtoffer ook werkelijk minderjarig is. Het ‘slachtoffer’ is in dit geval
echter geen minderjarig kind maar een computermodel.
We willen regeringsleiders dwingen tot proactief opsporingsbeleid waardoor politieorganisaties actief kunnen
patrouilleren op openbare internet hotspots waar kindermisbruik plaatsvindt. Op dit moment denken
misbruikplegers dat de wet niet op hen van toepassing is. Op het internet kan veel, maar het is niet wetteloos”
[Hans Guijt, Terre des Hommes, 4.11.13].
Terre des Hommes roept met een wereldwijde petitie de internationale autoriteiten op om proactieve
onderzoeksmiddelen in te zetten om zo een einde te maken aan webcam kindersekstoerisme [YouTube].
Online doorzoeking
In aanwezigheid van een officier van justitie en een rechter-commissaris mag de Nederlandse
politie een huis doorzoeken. Maar een computer op afstand binnendringen is verboden.
Daarmee zouden de opsporingsinstanties zich schuldig maken aan computervredebreuk, of
terughacken. Maar op die manier kan wel kwaadaardige software onschadelijk worden gemaakt
en achterhaald wie een specifiek delict heeft of hebben begaan.
“Computercriminaliteit kan pas echt goed worden aangepakt als de Nederlandse politie op afstand in de
computers van buitenlandse cybercriminelen mag kijken, en in de echt zware gevallen onschadelijk maken”
[Cybercrime-officier van justitie Lodewijk van Zwieten, in: VN, 28.7.11].
Het strafrecht heeft strenge regels over het gebruik van bewijs. De hoofdregel is dat het
Openbaar Ministerie (OM) wettig en overtuigend bewijs moet leveren dat de verdachte het
strafbare feit gepleegd moet hebben. Het bewijs mag niet met een illegale tap of door
verboden dwang zijn verkregen en moet �overtuigend� zijn. De rechtbank mag geen
#145;gerede twijfel’ hebben over wat het bewijs nu eigenlijk bewijst.
Bij een cyberdelict bestaat het bewijs vrijwel altijd uit verklaringen of rapporten van
deskundigen over wat er in opslagmedia, logbestanden en andere bestanden te vinden is. Zo’n
deskundige kan computers, laptop, tablets of mobiele telefoons onderzoeken en op basis
daarvan zijn conclusies trekken, waarmee de rechter zich kan laten overtuigen.
Rechter gaan af op wat hij in de logbestanden en andere bewijsstukken lezen. Maar die
logbestanden en andere ICT-aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om ook
als bewijs te dienen. Een van cybercrime verdachte kan beweren dat hij het niet heeft gedaan
en dat een derde zijn computer heeft misbruikt. Dan worden getuige-deskundigen opgeroepen
die moeten uitleggen wat voor digitale aanwijzingen er op de computersystemen van de
verdachte gevonden zijn, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer
van buitenaf.
Rechters hoeven zelf geen specialistisch verstand van ICT te hebben, maar moeten wel kunnen
inschatten welke deskundige de meest logische verklaring aflegt, en bij tegenstrijdige
verklaringen afwegen aan welke zij het meest geloof hechten.
Forensisch bewijs
Bij strafzaken wordt het bewijs meestal veiliggesteld en geanalyseerd door een forensisch
deskundige. Het Nederlands Forensisch Instituut (NFI) levert diensten aan het OM en Justitie
bij strafzaken. Ook diverse private partijen kunnen voor dit doel worden ingeschakeld.
Het NFI heeft ten behoeve van bewijslevering de Forensisch-Technische normen (�FT-
normen�) opgesteld. Deze normen beschrijven eisen, voorwaarden en aanbevelingen met
betrekking tot het opsporen en veiligstellen van sporen die zijn achtergebleven na een misdrijf.
De meeste FT-normen zijn juridisch niet bindend (maar wel sterk aanbevolen). Enkele normen
zijn direct afgeleid van wetgeving en daarmee indirect wel bindend.
Voor digitaal forensisch onderzoek zijn er nog geen FT-normen, hoewel er wel een conceptnorm
is voor onderzoek aan mobiele telefoons. Ook zijn er normen voor onderzoek naar
gespreksopnamen.
De resultaten die door NFI of een recherchebureau worden gepresenteerd, worden meestal
voor waar aangenomen. Tenzij de tegenpartij daar eigen onderzoek tegenover stelt, zal de
rechter zelden vraagtekens zetten bij de kwaliteit van het bewijs.
Digitale veiligheid_NL
“blabla” [Generaal-majoor].
Het NCSC ging in januari 2012 van start. Samenwerking van Ministeries
Minstens vijf ministeries zijn bij het NCSC betrokken:
De basis van het centrum is de
Ministerie van Economische Zaken, Landbouw en
samenwerking tussen publieke en private Innovatie (ELI): gezien het economisch belang van
cyberveiligheid.
partijen. In eerste instantie worden diverse
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
overheidspartijen bij elkaar gebracht, (BZK): onder dit ministerie valt het beheer van de eigen
expertisecentrum op het gebied van cyberveiligheid. Het Ministerie van Veiligheid en Justitie is
belast met de coördinatie.
Het doel van de nationale strategie van cyberveiligheid is “het versterken van de veiligheid van
de digitale samenleving om daarmee het vertrouwen in het gebruik van ICT door burger,
bedrijfsleven en overheid te verhogen.” Door het beschermen van een open en vrije digitale
samenleving wordt de economie gestimuleerd en welvaart en welzijn verhoogd. “Een goede
rechtsbescherming in het digitale domein wordt gegarandeerd en maatschappelijke
ontwrichting wordt voorkomen dan wel er wordt adequaat opgetreden als het toch mis gaat.”
Om dit doel van NCSC te bereiken is gekozen voor de volgende actielijnen die in een aantal
specifieke acties worden geconcretiseerd.
Het NCSC kan haar doelstellingen en actielijnen alleen realiseren wanneer het kan beschikken
over voldoende betrouwbare informatie over alle relevante cyberaan�vallen. Daarom zouden
eigenaren/beheerders van systemen die voor de samen�leving van vitaal belang zijn, verplicht
moeten worden om veiligheids�incidenten te melden in plaats van onder de pet te houden. Dit
uitgangspunt is niet omstre�den, maar wel de vraag wat sectoren van ‘vitaal belang’ zijn
waarvoor zo’n meld�plicht (security breach notification) zou moeten gelden.
Het NCSC moet niet alleen goed geïnformeerd zijn, maar zou ook over voldoende middelen
moeten beschikken om in te grijpen en te ondersteunen daar waar dat nodig is. Als een
cyberaanval te groot is om zelf op te lossen moeten bedrijven en instellingen een alarmcentrale
kunnen bellen die hen helpt om de digitale brand te blussen. Zo’n digitale brandweer moet �
zoals �cryptoron� van Fox-it zei � daadwerkelijk achter de toetsenborden gaan zitten van die
organisatie, om de hacker zo snel mogelijk buiten te sluiten en ervoor te zorgen dat de
continu�teit van de dienstverlening van die vitale organisatie niet in gevaar komt. De
inter�ventiemogelijkheden van het NCSC zijn nog beperkt en de vraag is hoe groot de
slagkracht van de digitale brandweer zal moeten zijn.
Met deze speciale bevoegdheden wordt het team High Tech Crime van de Nationale Recherche
in staat gesteld om met betere (hoewel geen gelijke) wapens de georganiseerde
cybercriminaliteit effectief te bestrijden. Het overheid was zeer zwak toegerust om de
technologische ontwikkelingen bij te houden en een dam op te werpen tegen cybercriminaliteit.
De minister wil een wettelijk kader scheppen dat een einde maakt aan een situatie die al vaker
werd omschreven als het wilde westen, waarin de politie en justitie maar wat doen, zonder dat
daar duidelijke rechtsregels voor zijn. In het uiteindelijke wetsvoorstel gelden strikte
voorwaarden voor het toepassen van de nieuwe bevoegdheid om terug te hacken, zoals een
voorafgaande rechterlijke toetsing, certificering van de software die wordt gebruikt en de
logging van gegevens [Ministerie van Veiligheid en Justitie, 1.5.13].
Aan deze voorstellen zijn echter ook risico’s verbonden die niet verzwegen mogen worden en
waarvoor wegen gezocht moeten worden om deze zo klein mogelijk te houden. Ik vat die
risico’s puntsgewijs samen.
In cyberspace is het territorialiteitsbeginsel vervaagt omdat het niet kan worden toegepast
als de exacte locatie van de computersystemen van cybercriminelen onduidelijk is en
belastende gegevens versnipperd worden opgeslagen op verschillend grondgebied
(jurisdicties). Door het internationale karakter van computercriminaliteit is er behoefte aan
versterking van de bevoegdheden tot grensoverschrijdende toegang tot gegevens. Ook
zonder deze bevoegdheden verschaffen opsporingsdiensten van diverse landen zich in de
praktijk wel degelijk toegang tot gegevens die zijn opgeslagen op computersystemen die
zich op het grondgebied van andere staten bevinden [Ministerie van Veiligheid en Justitie,
1.5.13, p. 35].
b. Privacy
De privacy van burgers wordt in eerste instantie gewaarborgd doordat de rechter-
commissaris een machtiging moet geven voordat opsporingsambtenaren of de officier van
justitie op een computer van een verdachte mogen inbreken. Die machtiging mag alleen
worden gegeven bij misdrijven van “een zekere ernst” — het moet gaan om een misdaad
die een ernstige inbreuk op de rechtsorde oplevert. Op het misdrijf waarvan iemand wordt
verdacht moet ten minste een maximale gevangenisstraf van vier jaar staan. Uiteraard is dit
minimum voor discussie vatbaar. Sommige juristen en juridisch onderlegde politici vinden
Het inbreken in een computer is iets anders dan het verrichten van een huiszoeking of het
afluisteren van een telefoon. Een huiszoeking is meestal eenmalig en is bij de verdachte
direct bekend. Bij het aftappen van telefoons worden gesprekken afgeluisterd tussen een
persoon die van een strafbaar feit verdacht wordt en telkens één onverdacht ander persoon.
Als men inbreekt op een computer zijn daar alle communicaties (e-mail, VoIP, chatten,
sociale media, wifi, VoIP) te vinden die een verdachte had of heeft met talloze onverdachte
anderen. Computerbreuk heeft dus veel verdergaande gevolgen dan een huiszoeking of een
telefoontap.
Notificatieplicht
De notificatieplicht — ex artikel 126bb Sv.— houdt in dat de Officier van Justitie op een bepaald moment,
wanneer het onderzoek dit toelaat, de verdachte wiens telefoon is getapt hiervan op de hoogte wordt
gesteld.
Onderzoek wijst echter uit dat deze plicht al op grote schaal wordt overtreden.[Beijer 2004]. Overtredingen
van deze notificatieplicht worden niet opgenomen in het dossier of andere rapportages. Daarom zijn er
geen gevolgen voor het niet naleven van dit artikel en kan van een echte waarborg dus niet worden
gesproken.
Bovendien kent de Wet BOB ook een wettelijke ontsnappingsmogelijkheid, die is gecre�erd voor het
Openbaar Ministerie. Artikel 126dd Sv, sluit de notificatieplicht uit indien het verkregen bewijs door de
telefoontap nog gebruikt kan worden in een ander onderzoek. De wetgever laat hierbij een ruime
interpretatie van het artikel toe [Tempelman 2010].
De Electronic Frontier Foundation (EFF) gaf een verklaring uit waarin zij het hackplan van
Opstelten een schandalig voorstel noemde. “Dit voorstel laat de Nederlandse politie directe
aanvallen tegen internationale clouddiensten uitvoeren. Het laat de Nederlandse politie
exploits en malware tegen privacysystemen zoals het Tor-netwerk gebruiken, waardoor
honderduizenden Tor-gebruikers in gevaar worden gebracht. Samengevat, het laat de
Nederlandse politie cyberoorlog-methodes gebruiken om Nederlandse wetgeving voor
iedereen te laten gelden, waar ze ook wonen.”
De burgerrechtenbeweging vreest dat het voorstel van Opstelten een domino-effect zal
krijgen. Hoe zou de wereld er uitzien als de politie van elk land zou mogen inbreken in
computers in andere landen om haar eigen nationale wetgeving met bruut geweld op te
leggen? “We zouden een golf van aanvallen overal ter wereld zien wegens godslastering,
haatzaaierij, belastingontduiking, het bevorderen van homoseksualiteit, het bekritiseren van
staatshoofden zoals de koning van Thailand of Ataturk, of meningsverschillen over
copyrightschending.” Dat zou een bedreiging zijn voor de stabiliteit en bruikbaarheid van het
hele internet.
c. Boemerang
Als de Nederlandse politie en justitie beginnen om servers in het buitenland te hacken
zonder rechtshulpverzoek, dan zouden andere landen dat ook in Nederland kunnen doen.
Stel dat de overheden van Iran of China ook zouden besluiten om in te breken op in
Nederland gelokaliseerde computernetwerken om hun eigen criminelen en dissidenten op te
sporen en te achtervolgen. Wat zou de Nederlandse minister van Veiligheid en Justitie daar
dan nog tegen kunnen inbrengen?
d. Omkeerbaarheid
Politie mag dus spyware installeren op computers van zware criminelen. Maar deze spyware
kan vervolgens ook weer door criminelen worden gehackt, zoals uit een onderzoek van de
Chaos Computer Club in Duitsland is gebleken [Van Daalen 2012].
Kortom: het voorstel van Opstelten is ondoordacht, gaat verontrustend ver en is mogelijk in
strijd met de Europese mensenrechtenwetgeving. Een dergelijke wetgeving zou het internet
niet veiliger maken. Integendeel, de voorgestelde wetgeving maakt —zoals de EFF terecht
concludeert— het internet tot een nog gevaarlijker plek.
In antwoord op Kamervragen van D66 ging de minister nader in op het hacken van servers
door de politie terwijl de ‘terughackwet’ nog niet door de Kamer is behandeld. Momenteel heeft
de politiek geen wettelijke bevoegdheid om te hacken. Maar volgens de minister is het hacken
van de Blackshade-servers toch gedekt door de huidige wet. Hij verwijst daarbij naar artikel
125i van het Wetboek van Strafrecht waarin de bevoedheid wordt geregeld tot
“het doorzoeken van een plaats ter vastlegging van gegevens die op deze plaats op een gegevensdrager zijn
opgedragen of vastgelegd”
Dit artikel slaat op het fysiek binnentreden en doorzoeken van een plaats en eventueel in
beslagnemen van computerhardware. Hacken gebeurt echter op afstand en heimelijk.
Enerzijds erkent de minister — in zijn beantwoording van Kamervragen over gebruik van
spyware door de politie— dat “een heimelijke doorzoeking van gegevensdragers” binnen de
wettelijke kaders niet is toegestaan [Antwoorden Kamervragen, 6.10.14]. Anderzijds rekt hij
een speciale opsporingsbevoegdheid zo ver op om nu nog illegale acties van politieautoriteiten
te dekken. Voor juristen is deze spagaat zorgwekkend [Computerworld, 30.20.14].
Het Team High Tech Crime valt onder de dienst Landelijke Recherche binnen de Landelijke
Eenheid(voorheen de KLPD).
Kreeg meer cybercops [in 2013 van 30 naar 60), maar kan volgens planning in 2014 nog
steeds slechts twintig zaken behandelen. Maar niet meer mensen: maar intelligentie en een
intelligent netwerk op zetten.
Minister Opstelten (veiligheid en Justitie) belooft een forse toename van het aantal cybercrime
onderzoeken. In 2018 moeten dat er al 360 zijn. Voor 2015 wordt voorzien in 200 onderzoeken
[Telegraaf, 16.9.14].
Extra cybercops? Zoeken naar grenzen van de wet, een wet die gemaakt is toen er nog geen
internet was.
Het iRN is een provider voor politie en andere overheidsdiensten die onderzoek willen doen op
internet zonder hun visitekaartje achter te laten. Het netwerk schermt de identiteit af en zorgt
ervoor dat onderzoekers snel aan relevante informatie komen door dwarsverbanden te leggen
en gegegevens te bundelen. Het iRN slaat onderzoeksactiviteiten op forensisch verantwoorde
wijze op zodat opsporingsinformatie toetsbaar is (de gebruikte bronnen worden op betrouwbare
wijze vastgelegd en kunnen worden gebruikt als bewijsmateriaal in opsporingsonderzoeken of
voor contra-expertise).
Op basis van de big data technologie voor onderzoek Voor een dubbeltje op de eerste rij
Alle software van iRN is open source en dus
van grote hoeveelheden informatie ontwikkelde iRN
vrij van licentiekosten. Alle systemen zijn
volgens de scrum methode toepassingen voor internet goed schaalbaar zonder hoge bijkomende
kosten.
onderzoek. Deze iColumbo technologie wordt
kosteloos gedeeld met andere overheidsdiensten. iRN voorziet gebruikers bij alle aangesloten
overheidsdiensten voortdurend van nieuwe en verbeterde toepassingen en kennis.
FinFisher in Nederland
Politiespionnen en waakhonden
Ook in Nederland wordt gebruik gemaakt van de spyware FinFisher. In Nederland staan
minstens twee Command & Control servers die de spyware aansturen [Citizens Lab, 13.3.13].
Beide servers staan bij de hoster Tilaa in Amsterdam. Door het gebruik van deze hoster leek
het onwaarschijnlijk dat Nederlandse opsporingsdiensten achter deze afluisteroperatie zaten.
Sinds 2008 gebruikt de Nederlandse politie Trojans en spyware om de pc’s van verdachten af te
tappen [BNDeStem, 17.5.09; Webwereld, 19.5.08]. De producent van de omstreden
Bundestrojaner van de Duitse politie, het Keulse bedrijf Digitask, verklapte dat de spyware ook
aan Zwitersland, Oostenrijk en Nederland is verkocht [DW; Webwereld, 12.10.11].
“De wet schrijft voor dat burgers moeten weten welke opsporingsmethoden onder welke omstandigheden
mogen worden gebruikt. Bij bijvoorbeeld telefoontaps is dat wettelijk geregeld. Bij deze vorm nog niet. In
een rechtszaak is het dan ook maar de vraag of zo verkregen bewijslast standhoudt” [Theo de Roos,
hoogleraar straf- en strafprocesrecht aan de Universiteit van Tilburg].
In 2011 werd bekend dat de Unit Interceptie van het Nederlandse KLPD in een “zeer beperkt
aantal gevallen” spyware injecteert op pc’s van verdachten. In een brief aan de Tweede Kamer
verklaarde minister van Veiligheid en Justitie Ivo Opstelten: “De Unit Landelijke Interceptie van
het Korps Landelijke Politiediensten (KLPD) beschikt over software die geïnstalleerd kan worden
op de computer van een verdachte en waarmee ten behoeve van opsporingsdiensten toegang
kan worden verkregen tot die computer en of gegevens daarvan kunnen worden
overgenomen.” Maar de minister verschafte geen informatie over welke specifieke software
opsporingsdiensten beschikken. Dit zou “een onaanvaardbaar risico voor de inzetbaarheid van
die middelen” vormen [Antwoorden op Kamervragen, 13.12.11; Webwereld, 13.12.11].
Uit de door Wikileaks gelekte documenten blijkt dat in bijna alle landen gebruik gemaakt wordt
van de FinFisher technologie. Ook de Nederlandse politie maakt al sinds 2012 gebruik te maken
van het programma. In de gehackte klantenbestanden werd een versleutelingscode gevonden
die toebehoort aan een lid van de Nationale Eenheid (voorheen: KLPD), de landelijke politie in
Driebergen. De twee licenties lopen van 2012 tot 2015 en zijn geregistreerd met de username
20FEC907. De licenties voor FinSpy en FinSpy Mobile kosten beide €202.200. In totaal
besteedde de Nederlandse politie €2,3 miljoen aan de spionage software van Gamma
[Wikipedia: SpyFiles 4; VK, 8.8.14; Tech Worm, 16.9.14].
Kamerlid Sharon Gesthuizen (SP) stelde een aantal pertinente vragen over het gebruik van
deze omstreden spionagesoftware. Zij wilde van de Minister van Veiligheid en Justitie weten of
de Nederlandse politiek daadwerkelijk gebruik maakt van FinFisher. Het antwoord van Minister
Opstelten liet zich raden. Enerzijds erkent hij dat “de politie beschikt over software die fysiek
ge�nstalleerd kan worden op de computer van een verdachte, waarmee ten behoeve van
opsporingsdiensten toegang kan worden verkregen tot die computer en waarmee gegevens
daarvan kunnen worden overgenomen.”. Anderzijds benadrukt hij dat dit middel alleen mag
worden ingezet voor het opnemen van vertrouwelijke informatie en dat het wettelijk niet is
toegestaan dit middel in te zetten voor “heimelijke doorzoeking van gegevensdragers”.
Over de aard van de gebruikte software wil de minister helemaals niets loslaten. “Het
verstrekken van informatie over welke specifieke software de opsporingsdiensten van de politie
beschikken, testen en gebruiken brengt grote risico�s met zich mee voor de inzetbaarheid van
die middelen. De verwerving van dergelijke middelen vindt bij de politie onder geheimhouding
plaats. Ik kan hier derhalve geen nadere informatie over verstrekken.”
Burgerinitiatieven
1. Meldpunten:
2. Zelfregulatie
3. Burgerinitiatief
Trends in cybercrime
Cijfers en cijferreeksen
Fraude in betalingsverkeer
Sinds 2012 zet zich de dalende trend in fraude in het betalingsverkeer is een populaire
criminele bezigheid. Sinds 2012 vertoont de fraude in het betalingsverkeer een sterke daling.
In het eerste half jaar van 2014 naar het met 34% af ten opzichte van de tweede helft van
2013 [NVB, 24.9.14].
in miljoen euro
2012 81,1
2013 33,3
2014 (half jaar) 9,5 2,1 0,64
De schade als gevolg van skimming (kopi�ren van magneetstrip van betaalpas) bedroeg in het
piekjaar 2011 nog 38,9 miljoen euro. Daar is nog maar nauwelijks iets van over: 640.000 euro
in de eerste helft van 2014. Door de invoering van het nieuwe pinnen met gebruik van de EMV-
chip in plaats van de magneetstrip is skimming nog maar zeer beperkt mogelijk. Sinds begin
2012 is het in principe onmogelijk om in Europa geld op te nemen met geskimde kaarten. In de
eerste helft van 2014 werden er slechts 1.000 kaarten geskimd.
De fraude met internetbankieren neemt af omdat banken steeds beter in staat zijn om
(pogingen tot) fraude vroegtijdig te detecteren en te voorkomen. Het preventief blokkeren van
buitenlandoverboekingen binnen internetbankieren heeft sterk bijgedragen aan de daling van
de skimmingschade. Door geoblocking wordt de magneetstrip buiten Europa standaard
uitgeschakeld. Sinds 2013 ontstaat vrijwel alleen nog schade door het in niet-EVM landen
skimmen van Nederlandse passen, direct gevolgd door geldopnames.
De meeste schade bij internetbankieren werd veroorzaakt door phishing: 1,7 miljoen euro. Ten
opzichte van de tweede helft van 2013 is dat een daling van 47%. Ook de schade als gevolg
van malware nam fors af met 77% tot 280.000 euro. Samen met het NCSC proberen banken
phishing sites uit de lucht tehalen.
Skimming
Skimming is een vorm van betaalpasfraude. Criminelen kopi�ren ongemerkt de magneetstrip van een
betaalpas en bemachtigen de pincode. Vervolgens maken ze een kopie van de pas waarmee geld wordt
opgenomen en/of betaald in binnen- en buitenland.
Shouldering
Shouldering is het over de schouder meekijken bij het invoeren van de pincode, gevolgd door het stelen van de
pinpas.
Europa
“Step up the fight against cybercrime and the criminal misuse of the internet by organised crime groups”
[Prioriteit 4 van het EU bebelid t.a.v. georganiseerde en internationale misdaad].
EC3
Zonder ge�nstitutionaliseerde samenwerking tussen de nationale opsporings- en
vervolgingsautoriteiten zal Europa de strijd tegen cybercriminaliteit zeker verliezen.
In september 2010 kondigde de Europese Commissie nieuwe maatregelen aan die ervoor
moeten zorgen dat Europa zich kan verdedigen tegen aanvallen op zijn belangrijkste
informatiesystemen. De nadruk lag daarbij op de aanpak van nieuwe vormen van
Op 11 januari 2013 werd in Den Haag het nieuwe Europees Centrum voor de bestrijding van
cybercriminaliteit (EC3) operationeel. EU-commissaris voor Binnenlandse Zaken Cecilia
Malmstr�m: “Het Europees Centrum voor de bestrijding van cybercriminaliteit is een
belangrijke versterking van de capaciteit van de EU om cybercriminaliteit te bestrijden en een
vrij, open en veilig internet te verdedigen. Cybercriminelen zijn slim en snel in het oppikken
van nieuwe technologie�n voor criminele doeleinden; het Europees Centrum voor de
bestrijding van cybercriminaliteit zal ons helpen slimmer en sneller te worden in het helpen
voorkomen en bestrijden van hun misdrijven” [Europese Commissie, 9.1.13]. Europese
politiekorpsen kunnen steunen op de enorme forensische capaciteit van EC3.
Het EC3 concentreert zich op illegale activiteiten die georganiseerde criminele benden via het
internet uitvoeren, met speciale aandacht voor aanvallen op online bankieren en andere
financi�le activiteiten via het internet, exploitatie van kindermisbruik via het internet en
misdrijven die gericht zijn tegen de kritieke infrastructuur en informatiesystemen in de EU.
Europol — J-CAT
Cybercrime experts van politiediensten uit de hele wereld komen samen in een nieuw orgaan:
de Joint Cybercrime Action Taskforce (J-CAT) die op jacht gaan naar de slimste online
criminelen. Het team is gebaseerd in het European Cybercrime Centre (EC3) bij Europol
Het team co�rdineert onderzoek naar grootschalige dreigingen, inclusief virussen die
inloggegeven van banken stelen en grote criminelen — met name degenen die crimeware
verhandelen en persoonlijke data verkopen op ondergrondse webfora.
Daarnaast moet Eurojust bijdragen aan het oplossen van jurisdictiegeschillen in gevallen waarin
verscheidene nationale autoriteiten bevoegd zijn in een specifieke zaak een
opsporingsonderzoek of vervolging in te stellen. Het moet de uitvoering van internationale
justiti�le instrumenten, zoals het Europees Aanhoudingsbevel, vergemakkelijken door het
instellen van gemeenschappelijke onderzoeksteams en het financieren van de operationele
middelen van die teams.
Europese wetgeving
Om computercriminaliteit beter te bestrijden vonden de Europese Commissie en het Europese
Parlement het nodig computerdelicten binnen de EU te harmoniseren en maximale
gevangenisstraffen voor te schrijven. In het bijzonder maken zij zich zorgen over de opkomst
van botnets, de economische schade dat cybercrime kan veroorzaken en de ontwrichtende
gevolgen die aanvallen op vitale IT infrastructuren kunnen hebben.
De Richtlijn over aanvallen op informatiesystemen van 12 augustus 2013 moest binnen twee
jaar in de nationale wetgeving worden ge�mplementeerd. De richtlijn betreft vooral het
materieel strafrecht. Dat zijn wetten ten aanzien van het functioneren van informatiesystemen
waarbij het gaat om vertrouwelijkheid van gegevens, de integriteit van informatiesystemen en
de beschikbaarheid van gegevens, programma’s en diensten. In de richtlijn wordt benadrukt
dat ge�nfecteerde computersystemen die samen een botnet vormen veel schade berokkenen
binnen de lidstaten.
“De richtlijn is er onder meer op gericht strafrechtelijke straffen in te voeren voor de fase waar de �botnet�
tot stand wordt gebracht, namelijk wanneer controle op afstand over een aanzienlijk aantal computers tot
stand wordt gebracht door deze door middel van gerichte cyberaanvallen te besmetten met kwaadaardige
software. (...) De lidstaten kunnen bepalen wat overeenkomstig hun nationaal recht en hun nationale
praktijk onder ernstige schade wordt verstaan, zoals de ontregeling van systeemdiensten van groot openbaar
nut, het veroorzaken van aanzienlijke financi�le schade of het verlies van persoonsgegevens of gevoelige
informatie” [EU Richtlijn, punt 5].
Artikel 9 van de Richtlijn schrijft een strafverzwaring van een maximale gevangenisstraf van
ten minste vijf jaar voor bij computerdelicten die (i) in georganiseerd verband worden
gepleegd, (ii) ernstige schade veroorzaken (met bijvoorbeeld een botnet) of (iii) gericht zijn
tegen tegen vitale infrastructuren.
Nomadische gedachten
Mensen die een misdaad in of via cyberspace voorbereiden of uitvoeren vertellen ons nooit
precies met welke methode zij zichzelf illegaal verrijken en welke instrumenten zij daarvoor
gebruiken. Elke cybercrime is omringd met een dikke mist van geheimhouding.
Daarom is het niet makkelijk om goede adviezen te geven aan burgers die zichzelf in
cyberspace tegen criminelen willen beschermen en om effectieve methoden te ontwikkelen om
cybercriminelen de pas af te snijden en hen strafrechtelijk te vervolgen.
Inbreken in de digitale apparaten van individuele burgers biedt niet allen toegang tot hun eigen
bankrekening. Het biedt ook toegang tot de ict-systemen van het bedrijf of de instelling waar
het doelwit werkt. Het infiltreren en manipuleren van smartphones en mobiele
communicatiesystemen is bijna kinderlijk eenvoudig. In de bestrijding van de misdaad in of
met behulp van cyberspace krijgt dit een steeds groter gewicht.
Zij maken gebruik van vergelijkbare en meestal identieke instrumenten en methodieken. Maar
zij verschillen aanzienlijk in hun doelstelling, werkwijze, aard van de actoren en institutionele
verankering.
Cyberconflicten
Doel Methode
CyberVandalisme Verdrijven van verveling, irriteren Het vandaliseren van willekeurige sites en servers
om aandacht. Geen “voor de lol” of uit nieuwsgierigheid: “kijken of het
maatschappelijk, politiek of kan”.
financieel doel.
CyberTerrorisme Vijanden van de juiste leer zoveel Ideologisch (politiek, religieus, nationalistisch etc.)
mogelijk schade berokkenen: gemotiveerd niet op geldelijk winst gericht.
angst zaaien. Spectaculaire cyberaanslagen op als vijandig
gedefinieerde doelwitten.
Terroristische organisaties hebben steeds meer
belangstelling voor de ontwikkeling van offensieve
cybercapaciteiten. Hun slagkracht is beperkt door de
beschikbare intellectuele en organisationele bronnen
en, en door concurrerende prioriteiten.
Aan deze opsomming zou nog «hacken» worden toegevoegd. De meeste ethische of white hat
hackers inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen
en netwerken. Hun doel is het aantonen —middels volledige of verantwoordelijke
bekendmaking— dat deze systemen en netwerken inadequaat beveiligd zijn en dat het
mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven als
‘binnendringen omdat het kan’ en ’lekken zoeken omdat er lekken zijn’, zonder onnodige
schade aan te richten. Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste
cyberveiligheid.
Cyberspace werd ooit gezien als louter fictie, als een “consen�su�e�le hallucinatie” [William
Gibson]. Tegenwoordig is cyberspace een vitale virtuele wer�ke�lijk�heid die miljarden
mensen met online computers en apparaten voor mobiele communicatie omvat. Alles wat op
code werkt en een verbinding naar een digitaal netwerk heeft, is onderdeel van cy�ber�space.
Cyberspace is het ge�heel van virtuele werelden die bestaan wanneer we via internet en
mobiele communicatie informatie uitwisselen en met elkaar communiceren. Het evolueert
steeds meer tot eeh internet der dingen. Productiemachines, financiële operaties,
vervoerstechnieken en slimme apparaten worden in digitale netwerken met elkaar
ver�bon�den. De meest uiteenlopende apparaten en installaties worden door computers
aangestuurd en gecontroleerd: scanners en printers; beveiligingscamera’s en liften; GPS en
satellieten; auto’s en jachtvliegtuigen; banknetwerken en beurssystemen; treinen,
elektrici�teits�centrales, ultracentrifuges.
Met rasse schreden treden we binnen in het «internet van alles». Daarin dragen we steeds
meer slimme apparaten met ons mee. Dat zijn de smart wearables zoals mobiele telefoons,
Google Glass, slimme horloges en fitniss trackers. Het zijn sensoren die op elk moment al onze
activiteiten vastleggen. Waar we zijn (GPS-co�rdinaten) en met wie we contact onderhouden,
wat we met wie communiceren, welke transacties we plegen. Fitness sensoren registeren de
stappen die ik neem, de afstand die ik afleg, de calorie�n die ik gebruik en mijn hartslag.
Er komen steeds meer producten voor onze ‘slimme huizen’ die ontworpen zijn voor
communicatie op afstand en controle van apparaten in onze huizen. Elk van deze apparaten
kan voor criminelen een ingang worden in onze systemen.
Op elk van deze lagen kan een criminele aanval worden gedaan.
De exlosieve groei van het «internet der dingen» maakt onze samenleving gevoeliger voor
Overheidsbeleid
Een verstandige overheid versterkt de maatschappelijke weerbaarheid en het herstelvermogen
van onze computersystemen en mobiele netwerken. Zij stimuleert zelforganisatie van
internettende burgers en stuurt aan op decentralisatie van heel grote en dus erg kwetsbare
instellingen, productie-installaties en databanken.
De lastigste opgave is om een beleid te voeren dat zowel onze veiligheid als onze vrijheden in
cyberspace waarborgt. Kunnen we een acceptabel niveau van digitale veiligheid tot stand
brengen waardoor de grootste risico’s in het gevirtualiseerde en gemobiliseerde verkeer zo ver
mogelijk worden geminimaliseerd? Kunnen we onze virtuele vrijheden kunnen behouden en
versterken?
de vrijheid om ook online onze mening te uiten, zonder daarmee diezelfde vrijheid van
anderen te ontzeggen (door te dreigen met geweld of door discriminatie van bepaalde
bevolkingsgroepen).
de vrijheid om anoniem of pseudoniem met cyberburgers te communiceren en te
interacteren.
de vrijheid om ons in virtuele netwerken te associëren en activiteiten te coördineren.
Deze drie vrijheden kunnen ook als rechten worden geformuleerd en in een grondrecht worden
gebundeld. Dat grondrecht zou als volgt kunnen luiden: internet en mobiele communicatie
zijn universele diensten waartoe alle wereldburgers vrijelijk toegang toe dienen te
hebben zolang zij diezelfde vrijheid van andere burgers niet aantasten. Internet is een
netwerk dat grondwettelijk erkent en afgeschermd dient te worden. Het digitale grondrecht zou
op dezelfde wijze geregeld moeten worden als in de analoge wereld. In de analoge wereld van
formeel democratische rechsstaten ben je vrij om je te bewegen in elke openbare ruimte. Dat
vrijheidsrecht zou ook moeten gelden in de virtuele openbare ruimte, in cyberspace.
2. “419” Scam
London: Routledge.
4. Aljazeera
[04.01.2011] Cybercrime rampant in Russia
[04.01.2011] Cybercrime: Click away from mugging
[03.10.2012] Filipinos protest tough new cyber law
[09.10.2012] Philippine court suspends anti-cybercrime law
[12.12.2012] Facebook helps FBI foil $850m-cybercrime ring
[15.11.2013] Russia enacts restrictive new cyber-law
[17.06.2013] The dark world of cybercrime
[03.06.2014] US hunts Russian over $100m cybercrime
[07.08.2014] Russian hackers 'stole 1.2 billion passwords'
[28.08.2014] Cracking down on cybercrime in Ivory Coast
5. Anderson, Ross
[2001/8] Security Engineering: A Guide to Building Dependable Distributed Systems
New York: John Wiley & Sons.
[2013] Why quantum computing is hard - and quantum cryptography is not provably secure - with Robert
Brady
6. Attrition.org
Een groep die ‘Web defacements’ en andere typen cybermisdaad in de gaten houdt.
7. Aycock, John
[2008] Reading and Modifying Code
[2010] Computer Viruses and Malware
Springer (2006).
[2010] Viruses and Malware.
In: Handbook of Information and Communication Security. pp. 747-769. Springer.
[2013] Computer Science Cologquium [47:38]
10. BBC
[02.06.2011] Targeted cyber attacks an ‘epidemic’ - Maggie Shiels
[05.06.2011] International body ICSPA to fight cybercrime globally
[12.06.2011] IMF hit by ‘very major’ cyber security attack
[13.06.2011] Government ‘may have hacked IMF’
[13.06.2011] IMF cyber attacks signal new spying era
[05.12.2011] Botnets: Hi-tech crime in the UK - Mark Ward
14. Bhaskar, Roy [2006] State and local law enforcement is not ready for a cyber Katrina.
In: Communications of the ACM, 49(2): 81-83.
21. Bloomberg
[14.06.2011] IMF State-Backed Cyber-Attack Follows Hacks of Lab, G-20 - Michael Riley & Sandrine
Rastello
[03.08.2012] How Software Updates Are Destroying the Stock Market - Matthew Philips
[06.10.2012] India’s NSE Says 59 Erroneous Orders Caused Stock Plunge - Rajhkumar K. Shaaw, Santanu
Chakraborty & Shikhar Balwani
[05.11.2012] Coke Gett Hacked and Doesn’t Tell - Ben Elgin, Dune Lawrence & Michael Riley
[10.09.2013] Fed Warns of ‘Escalating Threats’ to U.S. Payment System - Joshua Zumbrun
[13.09.2013] Santander Cyber Attack Thwarted by U.K. Police as 12 Arrested - Kit Chellel
[18.09.2013] Cyber Attacks Pose Danger to Financial System: U.S. Regulator - Jesse Hamilton
[09.06.2014] Cybercrime Remains Growth Industry With $445 Billion Lost - Chris Strohm
[17.07.2014] How Russian Hackers Stole the Nasdaq - Michael Riley
[28.08.2014] Internet Security - Jordan Robertson
[28.08.2014] Russian Hackers Said to Loot Gigabytes of Big Bank Data - Michael Riley & Jordan Robertson
[03.09.2014] From Russia With Love: JPMorgan Hack May Be Warning, Says Former NSA Chief - Chris
Strohm
[04.09.2014] Data Breaches in the U.S.
26. ChinaDaily
[02.07.2011] The uncertainties of cyberspace - Shen Yi
[05.06.2014] China is victim of hacking attacks - Li Xiaokun
32. ComputerWorld
Tag: Cybercrime
[28.04.2010] Microsoft en de schijnveiligheid - Volkert Deen
[23.08.2010] Nederland topland voor cybercrime - Hans Vogelsang
[22.10.2010] SaaS gaat als een speer - Kristian van Tuil
[02.11.2010] SSD kraakt wachtwoorden in een oogwenk - Kristian van Tuil
[27.12.2010] 5 Trends in cybercrime - Kristian van Tuil
[28.03.2011] Wat doen we met de domme massa? - Kristian van Tuil
[09.06.2011] 6 nieuwe kansen voor cybercriminelen - John Brandon
[23.06.2011] Cybercrime bestrijden? Volg het geld! - Jon Brodkin
[25.08.2011] Weet jij hoe je data echt moet verwijderen? - Stefan Hammond
[27.09.2011] Tikfoutjes gevaarlijker dan ooit tevoren - Roger A. Grimes
[15.11.2011] #Occupy het internet! - Kristian van Tuil
[11.01.2012] Politie laat cybercrime vrijwel ongemoeid - Roger A. Grimes & Kristian van Tuil
[27.01.2012] Privacy en bedrijfsgeheimen - zo 2011 - Volkert Deen
[05.03.2012] 6 niet te onderschatten beveiligingstrends - Nick Mediati
37. DarkReading
[28.05.2010] Pssst...Want To Rent A Botnet? - Mathew J. Schwartz
[03.11.2010] Zeus Attackers Deploy Honeypot Against Researchers, Competitors - Kelly Jackson Higgins
[18.02.2011] New Fast-Flux Botnet Unmasked - Kelly Jackson Higgins
[26.06.2014] As Stuxnet Anniversary Approaches, New SCADA Attack Is Discovered - Sarah Peters
[30.06.2014] Cyberspying Campaign Comes With Sabotage Option - Kelly Jackson Higgins
[31.07.2014] 'Energetic' Bear Under The Microscope - Kelly Jackson Higgins
[10.09.2014] Attack Steals Online Banking Credentials From SMBs - Kelly Jackson Higgins
131.
[1998] Internet Besieged: Countering Cyberspace Scofflaws. Addison-Wesley.
41. EenVandaag
[11.02.2012] Drugs en wapens via TOR eenvoudig beschikbaar
[29.05.2012] Cybercrimineel heeft vrij spel
[10.06.2014] 'Samenleving slecht bestand tegen cybercrime'
43. Eurojust
Operational and strategic activities
[19.05.2014] International operation hits BlackShades users
46. Europol
Organized Crime (SOCTA/OCTA)
Threat Assessments
[09.12.2009] Carbon Credit Fraud Causes More Than 5 Billion Euros Damage For European Taxpayer
[01.07.2010] Europol Review 2009
[10.08.2010] Organized Crime & Energy Supply
[28.12.2010] Further investigation into VAT fraud linked to the carbon emissions trading system
[31.03.2011] Strategic Meeting on VAT Fraud
[18.07.2012] Europol to lead international cyber security protection alliance consultation into the future of
cybercrime
[05.10.2012] Global crackdown on illicit online pharmacies
[12.10.2012] Europol warning in relation to a variant of the police ransomware malware
[26.11.2012] Websites selling counterfeit merchandise taken down by authorities in Europe and the USA
[07.01.2013] New European Cybercrime Centre (EC3) to tackle rising trens in payment card fraud
[21.01.2013] New European Cybercrime Centre (EC3) opens at Europol
[13.02.2013] Police dismantle prolific ransomware cybercriminal network
[08.03.2013] International network of on-line card fraudsters dismantled
[19.03.2013] Europol identifies 3600 organised crime groups active in the EU
[15.11.2012] Europols data protection framework as an asset in the fight against cybercrime
[28.03.2013] Global credit card fraud network dismantled
[29.05.2013] Increased law enforcement cooperation is the key to fighting online child abuse
[26.06.2013] 328 internet domains selling counterfeit products targeted by law enforcement
[25.09.2013] Facing future cyber threats
[25.09.2013] Europol-Interpol cybercrime conference stepts up policing in cyberspace
[15.10.2013] New cybercrime report examines disturbing trens in commercial online child sex abuse
[14.02.2013] Ransomware
[02.12.2013] 690 internet domain names seized because of fraudulent practices
[05.12.2013] Notorious botnet infecting 2 million computers disrupted
[Febr. 2014] Police Ransomware - Threat Assessment
[04.02.2014] Police Ransomware: a multimillion Euro business
[19.03.2014] Europol director calls for a fair deal on police powers to tackel online crime
[25.03.2014] Criminal grou of online fraudsters dismantled
[28.03.2014] European Cybercrime Centre at Europol warns about Windows XP security risks
[13.05.2014] Arrests in international voice-phishing case
[19.05.2014] Worldwide operation against cybercriminals
[02.06.2014] International action against 'Gameover Zeus' botnet and 'Cryptolocker' ransomware
[06.06.2014] Increased focus on the link between the internet and human trafficking
[17.06.2014] Cybercrim experts tackle the criminal exploitatio of virtual currencies
[10.07.2014] Global action targeting Shylock malware
[01.09.2014] Expert International Cybercrime Taskforce launched to tackle online crime
[08.09.2014] International network of child abuse photographers dismantled
49. Fox It
Cybercrime
Cybercrime trainingen
[22.04.2013] European Cyber Security Group Founded to Combat Cybercrime
Ambo.
The Nexus of Cyber Crime, Espionage and Cyber Warfare
[31.07.2013] How a Russian cybercriminal tried to frame me with a Bitcoin heroin deal - Brian Krebs
[06.08.2013] Child abuse images 'used by criminals in bid to introduce malware' - Charles Arthur
[10.08.2013] How should you protect yourself from cyber surveillance? - Dan Gillmor
[16.08.2013] Cyber scams take advantage of hope and trust Jemima Kiss
[23.08.2013] Cybercrime hits more than 9 million UK web users
[26.08.2013] Saudi Aramco hit by computer virus - Charles Arthur
[26.08.2013] Five arrested over online tax fraud
[28.08.2013] 'Vishing' scams net fraudsters �7m in one year
[13.01.2013] The battle against cybercrime is too important to be undone by Eurosceptics - Misha Glenny
[28.08.2013] New York Times website offline after ‘malicious external attack’ - Adam Gabbatt
[13.09.2013] Cybergang foiled after allegedly hacking into London bank
[16.09.2013] Internet security: 10 ways to keep your personal data safe from online snoopers
[20.09.2013] Barclays theft: eight arrested over �1.3m stolen remotely by gang
[25.09.2013] Labour conference: Yvette Cooper to pledge action internet shopping fraud
[03.10.2013] Adobe warns 2.9 million customers of data breach after cyber-attack
[07.10.2013] FBI struggles to seize 600,000 Bitcoins from alleged Silk Road founder - Alex Hern
[07.10.2013] FBI pranked by furious Bitcoin users since Silk Road shutdown - Alex Hern
[12.10.2013] Protecting yourself online isn't as easy as it used to be, but it can be done - Dan Gillmor
[19.10.2013] CryptoLocker attacks that hold your computer to ransom
[19.10.2013] 10 ways to beat CryptoLocker
[22.10.2013] Ex-hackers could be recruited to UK cyberdefence force
[29.10.2013] Briton Lauri Love faces hacking charges in US
[30.10.2013] Online fraud costs global economy 'many times more than $100bn'
[12.11.2013] In from the cold: the mainstream rehabilitation of the 'hacker'
[15.11.2013] UK faces mass 'ransomware' email attack from cybercriminal gangs
[21.11.2013] US police force pay bitcoin ransom in Cryptolocker malware scam - Samuel Gibbs
[03.12.2013] Online drugs marketplace shut down after �3.5m bitcoin hack - Alex Hern
[06.12.2013] Five reasons why big companies are finding it hard to beat cyber criminals
[06.12.2013] RBS says NatWest website hit by cyber-attack
[10.12.2013] Five predictions for information security and cybercrime in 2014
[11.12.2013] Cybercrime police investigating �1m bank theft arrest four people in London
[11.01.2014] Neiman Marcus confirms customers affected by cyber-security breach
[22.01.2014] How to set a strong password - Erica Buist
[05.02.3014] City needs to be better prepared for cyber-attacks, Bank of England warns
[26.02.2014] US prosecutors investigate businesses dealing in bitcoins
[27.02.2014] PC users: beware of CryptoLocker malware
[11.03.2014] Protect your small business from cybercrime
[14.03.2014] Tackling insider cyber threats requires a credible digital forensic strategy
[14.03.2014] A web safe, sound and fit for purpose
[01.04.2014] WiFi routers could be exploited for huge internet attacks in UK � study - Ben Brewster
[03.04.2014] By turning security into a data problem, we can turn the tables on the bad guys
[14.04.2014] The NSA's Heartbleed problem is the problem with the NSA - Julian Sanchez
[15.04.2014] Trouble with Russia, trouble with the law: inside Europe�s digital crime unit - Tom Brewster
[17.04.2014] It's simple: criminalize revenge porn, or let men punish women they don't like - Mary Anne
Franks & Danielle Citron
[30.04.2014] The cyber risks facing UK retailers � lessons from the US
[30.04.2014] Avoiding mobile fraud: What small businesses need to know
[02.05.2014] Philippines police arrest webcam extortion suspects
[07.05.2014] 10 talking points about cybersecurity and your business - Stuart Dredge
[08.05.2014] Android porn browsers warned to watch out for Koler.A ransomware - Stuart Dredge
[15.05.2014] Is Elderwood the digital arms dealer that fuelled attacks on Google? - Tom Brewster
[16.05.2014] Police warn men over online 'sextortion'
[19.05.2014] FBI arrests 100 hackers over Blackshades malware - Alex Hern
[26.05.2014] Prosecutors seek leniency for hacker Sabu who helped tackle Anonymous
[28.05.2014] Sabu, the FBI and me: how his light sentence affects the hacking landscape
[02.06.2014] Global police operation disrupts aggressive Cryptolocker virus
[02.06.2014] US accuses Russian hacker Evgeniy Bogachev of $100m fraud
[03.06.2014] Cryptolocker: 10 steps to avoid the ransomware virus
[03.06.2014] Cyber security break-ins a 'daily hazard while firms skimp on protection'
[04.06.2014] Cryptolocker: Police take further action on ransomware that hit 50,000 in UK - Tom Brewster
[04.06.2014] Life sentences for serious cyberattacks are proposed in Queen's speech
[05.06.2014] Simplocker Android malware locks up mobile data and demands a ransom - Tom Brewster
[06.06.2014] How to protect yourself from phishing - Stuart Dredge
[06.06.2014] Latest OpenSSL bug �may be more dangerous than Heartbleed� - Tom Brewster
[09.06.2014] Is the global cost of cybercrime really �266bn a year? No, it isn�t - Tom Brewster
[16.06.2014] The �30k data takeaway: Domino�s Pizza faces ransom demand after hack - Samuel Gibbs
[27.06.2014] Scams, scareware and threats: how online hackers tap into your worst fears
[10.07.2014] Shylock malware exits stage left, pursued by UK cyber police - Tom Brewster
[17.07.2014] ScarePakage Android ransomware pretends to be FBI porn warning - Tom Brewster
[23.07.2014] Police arrest suspects in StubHub ticket site fraud investigation
[06.08.2014] Cybersecurity experts take Russian hacking scare 'with a pinch of salt' - Samuel Gibbs
[07.08.2014] Sophisticated 'Turla' hackers spying on European governments, say researchers - Tom
Brewster
[23.08.2014] Records of up to 25,000 Homeland Security staff hacked in cyber-attack
[28.08.2014] FBI investigating Russian links to JPMorgan hacking - Elizabeth Rust
[28.08.2014] JPMorgan Chase among US companies 'targeted by Russian hackers'
[01.09.2014] Europol launches taskforce to fight world�s top cybercriminals - Tom Brewster
[27.09.2014] Meet this �modern day hero� who is determined to outscam the scamsters - Miles Brignall
[01.10.2014] Legal and General calls on stock market giants to fight cybercrime - Jill Treanor
55. Hackmageddon
Cyber Attacks Timeline
Cyberattacks Statistics
66. ifex
[11.04.2011] Cambodia's secret Draft Cybercrime Law seeks to undermine free speech online
[04.04.2014] Philippines: Inching toward censorship
[24.06.2014] Trinidad and Tobago cybercrime bill could criminalise defamation
[06.08.2014] Madagascar's new cybercrime law punishes defamation with up to 5 years imprisonment
[11.08.2014] British Virgin Islands revises cybercrime bill to add public interest clause
[19.09.2014] New cybercrime law could have serious consequences for press freedom in Qatar
Bemiller
July � December 2011, Vol 5 (2): 813�824
[2011c] Gang Presence in Social Network Sites - David D�cary-H�tu & Carlo Morselli
July � December 2011, Vol 5 (2): 876�890
[2012a] Examining the Social Networks of Malware Writers and Hackers - Thomas J. Holt, Deborah
Strumsky, Olga Smirnova & Max Kilger
January � June 2012, Vol 6 (1): 891�903
[2012b] Criminals and Cyber Attacks: The Missing Link between Attribution and Deterrence - Clement
Guitton
July � December 2012, Vol 6 (2): 1030�1043
[2014a] Organizations and Cyber crime: An Analysis of the Nature of Groups engaged in Cyber Crime -
Roderic Broadhurst, Peter Grabosky, Mamoun Alazab & Steve Chon
January � June 2014, Vol 8 (1): 1�20.
74. KarsperskyLab
Hacking & System Vulnerabilities
Malware Classifications
Types of Spyware
What is a Botnet?
[11.07.2012] Kaspersky Lab Research Proves that Stuxnet and Flame Developers are Connected
[21.10.2013] The Big Four Banking Trojans - Brian Donohue
80. KrebsonSecurity
[20.01.2010] New Clues Draw Stronger Chinese Ties to ‘Aurora’ Attacks
[15.07.2010] Experts Warn of New Windows Shortcut Flaw
[22.11.2011] DHS Blasts Reports of Illinois Water Station Hack
[23.02.2012] ‘Citadel’ Trojan Touts Trouble-Ticket System>
[25.08.2012] Espionage Hackers Target ‘Watering Hole’ sites
[08.10.2012] ‘Project Blitzkrieg’ Promises More Aggressive Cyberheists Against U.S. Banks
[28.10.2012] DHS Warns of ‘Hacktivist’ Threat Against Industrial Control Systems
[13.01.2013] Police Arrest Alleged ZeuS Botmaster “bx1”
[14.05.2014] �Blackshades� Trojan Users Had It Coming
92. Malwageddon
[14.10.2013] LightsOut EK: “By the way... How much is the fish!?”
93. Malwareinfo.nl
95. McAfee
[2011] Ten Days of Rain
Expert analysis of distributed denial-of-service attacks targeting South Korea.
[2012] 2012 Threats Predictions
[01.04.2013] Infographic: The State of Malware 2013
[Juni 2014]Jackpot! Money Laundering Through Online Gambbing - Charles McFarland, Fran�ois Paget, Raj
Samani
[2014] Net Losses: Estimating the Global Cost of Cybercrime | Summary
102. Netzpolitik.org
[18.01.2013] Data Mining, Data Fusion und jetzt sogar Twitter: Was kann das neue �Cybercrime Centre�
bei Europol? - Matthias Monroy
[06.08.2014] Gamma FinFisher hacked: 40 GB of internal documents and source code of government
malware published - Andre Meister
[27.08.2014] Beschw�rung von Bedrohungen aus dem Cyberraum: Lagebericht zu Computer- und
Internetkriminalit�t - Anna Biselli
[28.08.2014] Panik! Jeder zweite Deutsche ist Opfer von Cybercrime! - Andre Meister
108. Netkwesties
[14.12.2008] Frank Engelsman over cybercriminaliteit
[08.07.2012] Criminele carders versus vasthoudende bromsnorren
[03.04.2013] Banken straffen fraudeslachtoffers met slapeloze nachten
[15.04.2013] Heilstaat van de netwerksamenleving en reputatie-economie - Peter Olsthoorn.
[11.05.2013] Justitie wil de computer in: Aanvaluhh!
[26.08.2009] Defying Experts, Rogue Computer Code Still Lurks - John Markoff
[17.12.2010] Granting Anonymity - Virginia Hefferman
[19.03.2011] In 'Kingpin,' a New Look at Cybercrime - Review - Bryan Burrough
[14.03.2012] The Cybercrime Wave That Wasn't - Dinei Florêncio & Cormac Herley
[19.03.2012] Make the Punishment Fit the Cyber-Crime
[14.04.2012] The Cybercrime Wave That Wasn’t - Dinei Florêncio / Cormac Herley
[03.06.2012] Preventing a Cybercrime Wave - Preet Bharara
[04.06.2012] Why attack when we can’t defend? - Ralph Langler
[24.06.2012] A Weapon We Can’t Control - Misha Glenny
[26.09.2012] Cyberwarfare Emerges From Shadows for Public Discussion by U.S. Officials - Scott Shane
[19.11.2012] Cyberwar and Social Media in the Gaza Conflict - Alan Cowell
[27.01.2013] Pentagon Expanding Cybersecuriry Force to Protect Networks Against Attacks - Elisabeth
Bumiller
[13.02.2013] Cybercrime Network Based in Spain Is Broken Up - Raphael Minder
[20.02.2013] Heinz Trades Draw F.B.I Scrutiny - William Alden
[13.03.2013] Security Chief Says Computer Attacks Will Be Met - Mark Mazzetti & David E. Sanger
[26.03.2013] Firm Is Accused of Sending Spam, and Fight Jams Internet - John Markoff & Nicole Perlroth
[27.03.2013] Spies and Big Business Fight Cyberattacks - Harvey Morris
[27.03.2013] Attacks on Spamhaus Used Internet Against Itself - John Markoff & Nicole Perlroth
[29.03.2013] Provocateur Comes Into View After Cyberattack - Eric Pfanner / Kevin O’Brien
[30.03.2013] How the Cyberattack on Spamhaus Unfolded - Alan McLean / Guilbert Gates / Archie Tse
[09.05.2013] In Hours, Thieves Took $45 Million in A.T.M. Scheme - Marc Santora
[05.09.2013] N.S.A. Able to Foil Basic Safeguards of Privacy on Web - Nicole Perlroth, Jeff Larson & Scott
Shane
[02.07.2014] Cybercrime Scheme Uncovered in Brazil - Nicole Perlroth
[05.08.2014] Russian Hackers Amass Over a Billion Internet Passwords - Nicole Perlroth & David Gelles
[27.08.2014] JPMorgan and Other Banks Struck by Hackers - Nicole Perlroth
112. NOS
[07.10.2005] Recherche pakt computerkrakers op
[16.01.2007] Celstraffen geëst tegen hackers
[15.07.2011] Wie zit(ten) er achter de cyberaanval op de VS?
[20.09.2007] Samenwerking tegen Cybercrime
[18.12.2007] Boete van miljoen voor cybercrime
[03.08.2011] Staat mogelijk achter enorme cyberaanval
[11.11.2011] FBI klikt groot botnet offline
[29.02.2012] Hackers teisteren bankklanten
[29.02.2012] ’11,2 miljoen schade door criminaliteit internetbankieren’
[10.03.2012] Justitie hack illegaal in buitenland
[12.03.2012] Bedrijven kwetsbaar voor cybercrime
[28.03.2012] Den Haag krijgt Europees Centrum voor Cybercrime
[29.06.2012] ‘Cybercriminelen hebben grotendeels vrij spel’
[29.06.2012] Kans dat cybercriminelen gesnapt worden is klein
[04.07.2012] ‘Nederland verspreidt 15% van alle malware’
[09.08.2012] Virus besmet meer en meer pc’s (Dorifel)
[09.08.2012] Virus richt zich niet op particulieren
[09.08.2012] Dorifel-virus: meer dan 30 instellingen besmet
[16.08.2012] ‘Cybercriminelen moeten harder worden aangepakt’
113. NRC
[23.09.2011] Cybercrime wordt zwaar onderschat - Marc Leijendekker
[04.10.2011] Breng die digitale kanonnen eens in stelling - Steven de Jong
[09.06.2012] Wanted: soldaten tegen cybercrime
[16.10.2012] Kamer steunt plan ruimere bevoegdheden bij aanpak cybercrime - Lex Boon
[09.11.2012] Hacker zonder opleiding schopt het tot baas omsttreden spionagefirma - Wouter Smilde
[06.12.2012] Adviseurs Opstelten hekelen hackende politie - Marc Hijink
[19.04.2013] �Wachten is op groter incident� - Peter Teffer
[10.05.2013] Cybercriminelen maken 45 miljoen dollar buit - �leek op Ocean�s Eleven� - Anouk van
Kampen
[10.05.2013] Twee Nederlanders vast in verband met wereldwijde miljoenenroof - Lex Boon
[24.06.2013] Voor China zijn onthullingen over cybercrime door de VS goud waard - Oscar Garschagen
[09.07.2013] Haags spoor in megabankroof - Dolf de Groot & Christiaan Pelgrim
[17.10.2013] De bankroof van Eddy en Willemina - Dolf de Groot
[17.09.2013] Zesde Nederlander verdacht in pinroof - Dolf de Groot
[17.09.2013] Haagse hulp bij digitale bankroof
[17.09.2013] Zesde Nederlander verdacht in pinroof - Dolf de Groot
[18.09.2013] Een sporttas vol cash - Dolf de Groot
[08.10.2013] Geen enkel onderzoek naar cybercrime voltooid
[15.01.2014] Justitie: plak webcam af met sticker
[11.02.2014] Digitale veiligheid voor dummies - Hans Klis
[12.02.2014] Europol krijgt Nederlandse adjunct-directeur
[12.06.2014] Pas op! Criminelen loeren op jouw DigiD - Wiler Heck
[14.06.2014] Digitale bankroof door een ex-agent - Tom Kreling
[24.07.2014] Wall Street Journal gehackt
[25.08.2014] Met X311de krochten van de Russische online onderwereld in - Mehdi Atmani
[30.08.2014] Wall Street en foute angst voor risico�s - Haim Bodek
117. Odinot, G. / Jong, D. de / Leij, J.B.J. van der / Poot, C.J. de / Straalen, E.K. van
[2012]
Het gebruik van de telefoon- en internettap in de opsporing
Den Haag: Boom Lemma.
119. OWNI
[31.10.2012] FinFisher: For All Your Intrusive Surveillance Needs
120. PAC Bestrijding van criminaliteit in de gedigitaliseerde maatschappij. Actualisatie van het
RHC beleid De Bilt: PAC
124. PCWorld
[10.05.2001] Did Hackers Seed the Net With Worms? - Sam Costello
[19.08.2008] Georgia Cyberwar Overblown - Andreas M. Antonopoulos
[16.05.2009] Preparing for Cyberwar - Ellen Messmer
[17.06.2009] Industry, Military Experts Discuss Murky Cyberwar Issues - Jeremy Kirk
[28.07.2009] Obey Browser Certificate Warnings Due to DNS Flaw - Glenn Fleishman
[23.02.2010] Security Expert: US Would Lose Cyberwar - Grant Ross
[20.09.2010] Nations, Companies Should Prepare for Cyberwar, Experts Say - Grant Ross
[05.12.2010] Threat of Cyberwar Calls for Treaties, Hotlines - Anh Nguyen
[17.01.2011] Internet ’Kill Switch’ Could Cause Chaos - John E. Dunn
[02.03.2011] If Stuxnet Was Act of Cyberwar, Is US Ready for a Response? - George V. Hulme
[18.03.2011] The Face of Cyberwar - Jaikumar Vijayan
[24.03.2011] Google, Skype, Yahoo Targeted by Rogue Comodo SSL Certificates - Tony Bradley
[08.04.2011] HTTPS Is Under Attack Again - Keir Thomas
[19.05.2009] Advanced Algorithms Enlisted To Fight Cyberwars - Robert Varnosi
[30.04.2011] Comodo Hacker Claims Another Certificate Authority - Robert McMillan
[31.05.2011] What a Cyberwar With China Might Look Like - Jaikumar Vijayan
[01.06.2011] North Korea Training Cyberwarriors at Foreign Colleges - John E. Dunn
[06.06.2011] US Readies Cyberwar Strategy - Tim Greene
[12.06.2011] Big Questions About Cyberwar - John Dix
[18.06.2011] US Builds Cyberwar Virtual Firing Range - Ed Oswald
[18.06.2011] Pentagon Clones Internet to Practive Cyberwar - Tim Greene
[12.07.2011] Cyberwar and Cyber-Isolationism - Scott Bradner
[06.09.2011] Comodo CEO Says DigiNotar Hack Was State-Sponsored - John P. Mello Jr.
[09.09.2011] How to Protect Yourself From Certificate Bandits - John P. Mello Jr.
[07.10.2011] Security Upgrades Needed With Growing Cyberwar Threats - Agam Shah
[20.02.2012] When Is a Cybercrime an Act of Cyberwar? - Tony Bradley
[03.04.2012] FBI: Cyberattacks Grow as National Security Menace - Ellen Messmer
[08.06.2012] Cybercrime ’Much Bigger Thann Al Queada’ - Antone Gonsalves
[05.07.2012] Flame Malware Spreading Itself Via Bogus Windows Updates - John P. Mello Jr.
[20.01.2013] Conficker worm reappears - John E. Dunn
127. ProPublica
[08.08.2014] Leaked Docs Show Spyware Used to Snoop on U.S. Computers - Jeff Larson & Mike Tigas
128. RAND
[2014] Markets for Cybercrime Tools and Stolen Data — Hackers' Bazaar - Lillian Ablon, Martin C. Libicki &
Andrea A. Golay
129. RSA
[06.01.2012] Geeks With Guns: Obama’s New Defense Plan Invests In Cyber Capabilities - Seth Geftic
[20.07.2012] Lion at the Watering Hole — The “VOHO” Affair - Will Gragido
[27.06.2012] Air Gaps and Smart Grid - Bob Griffin
[24.09.2012] Dark Side of Shamoon - Christohper Elisan
[02.10.2012] Intense Defense: Building a Rbust Active Defense Ethos - Will Gragido
[29.01.2014] Security Operations Management: Ninjas and Windows - Steve Schlaman
[20.05.2014] iBanking Mobile Bot Raising Its Shields - Daniel Cohen
132. SCADAhacker.com
135. SecureList
[24.04.2006] Malware naming - a never ending story - Roel Schouwenberg
[24.02.2014] Mobile Malware Evolution: 2013 - Victor Chebyshev & Roman Unuchek
[28.02.2014] The Future of Bitcoin After the Mt. Gox Incident - Stefan Tanase
[17.05.2014] The Bitcoin 2014 Conference - Are Crypto-Currencies Reaching Maturity? - Stefan Tanase
[25.09.2014] Well, that escalated quickly - Santiago Pontiroli
[07.10.2014] Tyupkin: Manipulating ATM Machines with Malware
[10.10.2014] Tic Tac Toe with a twist - Anton Kivva
136. SecureWorks
[18.11.2013] The Underground Hacking Economy is Alive and Well - Elizabeth Clarke
137. Security.nl
[21.02.2001] Nederland is lek
[24.10.2002] VS dreigt Nigeria met sancties wegens 419 scams
[19.07.2004] 419 scammers veranderen in huurmoordenaars
[15.12.2006] Bruce Schneier waarschuwt voor cybercrime hype
[04.12.2007] “Aandelenbeurzen en vrije pers doelwit van hackers in 2008”
[02.06.2008] Tiener leidt groep Chinese hackers
[17.11.2008] Nederlander spil in Nigeriaanse 419-zwendel
[10.12.2008] Obama ontvangt strijdplan tegen hackers
[02.04.2009] 419-slachtoffer vermoordt Nigeriaanse oplichters
[15.05.2009] "Oplichten Nigeriaanse scammers is gewoon leuk"
[17.07.2009] Nigeriaanse 419 scam in het Nederlands
[29.12.2009] Security voorspellingen 2010
[19.05.2010] Nieuwe Metasploit geeft hackers brute kracht
[19.05.2010] 720.000 websites in 2010 gehackt en besmet
[07.06.2010] Expert: domme politici gevaarlijker dan hackers
[10.06.2010] Interview met Mikko Hyppönen over mobiele malware
[10.06.2010] “Smartphones virusvrij dankzij Windows”
[10.06.2010] Hackers misbruiken vaker opensource-lekken
[11.01.2011] Hoe onveilig wordt het internet in 2011? - Job de Jong
[14.01.2011] 900.000 Nederlandse pc’s onderdeel botnet
[08.02.2011] “Grens hacktivisme en cyberoorlog steeds vager”
[19.02.2011] “Verveelde tieners gevaarlijker dan superhackers”
[08.03.2011] Nigeriaanse 419 scammer krijgt 20 jaar cel
[20.05.2011] “Hacker kan hardware permanent saboteren”
[22.06.2011] Meer malware met legitieme certificaten getekend
[02.09.2011] PVV stelt Kamervragen na DigiNotar-blunder
[05.09.2011] “Diginotar-hack belangrijker dan Stuxnetworm
[22.01.2012] Hacker onthult “100.000” gestolen Facebook-logins
[25.04.2012] “Nederlandse servers broeinets van cybercrime”
[28.04.2012] “China zondebok voor falense westerse IT-beveiliging
[24.05.2012] Gonggrijp: hackers moeten wereld veiliger maken
[16.10.2012] India traint half miljoen cybersecurity-experts
[23.11.2012] Amerikaanse EFF noemt hackplan Opstelten schandalig
[11.01.2013] Meesterbrein ‘Nederlands’ botnet ontmaskerd
[15.01.2013] Red October spionagevirus gebruikte oud Java-lek
[17.01.2013] Spionagevirus zocht naar Nederlandstalige Windows
[20.01.2013] Wet van Moore zal wachtwoord niet afmaken
138. Securityrecht
Computervredebreuk
Bewijs en forensisch onderzoek
141. Sicherheitstacho.eu
Een in real-time bijgewerkte wereldkaart die laat zien waar cyberaanvallen worden uitgevoerd. Deutsche
Telekom verzamelt de dat van 97 sensoren die werken als lokaas-systemen (honeypots) op verschillende
plekken in de wereld.
144. Singh, Abhishek / Lambert, Scott / Ganarcharya, Tanmay A. / Williams, Jeff [2010]
Evasions In Intrusion Prevention/Detection Systems
In:Virus Bulletin, 01.04.10
150. SpyFiles
152. Standaard, de
[2008] Cybercrime
In: W.Ph. Stol en A.Ph. van Wijk (red.), Inleiding criminaliteit en opsporing.
Den Haag: Boom Juridische uitgevers, 2008, p. 65-77
[2010] Cybersafety overwogen
Den Haag, Boom Juridische uitgevers
[2011] Cybersafety
In: W.Ph. Stol, C. Tielenburg e.a. (red.), Basisboek integrale veiligheid, Den Haag: Boom Lemma uitgevers,
p. 295-308
155. StrategyPage
[13.03.2013] More High Grade Malware Showing Up
[01.08.2014] Why Government Networks Are So Poorly Protected
157. Symantec
[06.10.2010] Critical Infrastructure Protection Study
160. TechRepublic
[11.02.2010] Ransomware: Extortion via the Internet - Michael Kassner
[11.11.2013] How web-browser automation helps purveyors of malware - Michael Kassner
[05.12.2013] AutoCAD malware: Rare but malignant - Michael Kassner
[08.04.2014] How to avoid the pileup malware exploit on Android - Jack Wallen
162. Telegraaf, De
[04.04.2007] Vacature voor �geldezel� in e-mail nieuwe stap cybercrime
[13.09.2007] Vuist tegen cybercrime
[18.09.2007] Harde aanpak cybercrime
[20.09.2007] OPTA en KLPD gaan samen cybercrime bestrijden
[06.02.2008] �Driekwart overheid geen plan tegen cybercrime�
[24.10.2008] Meldpunten over cybercrime in elk EU-land
[26.11.2008] EU pakt 'cybercrime' aan
[24.06.2009] Legereenheid VS gaat vechten tegen cybercrime
[27.07.2009] Symptomen van cybercrime
[27.07.2009] Campagnesite Justitie niet goed beveiligd
[27.07.2009] Cybercrime wordt niet geregistreerd
[27.07.2009] Marktplaats: zeker tien meldingen per dag
[29.10.2009] 'Overheid schiet tekort in aanpak cybercrime'
167. ThreatPost
[09.11.2010] Tracker: SpyEye Not Yet Zeus-Like In Stature - Chris Brook
[04.03.2011] Zeus Malware Not Dead Yet, New Features Being Added - Dennis Fisher
[10.05.2011] Zeus Source Code Leaked - Dennis Fisher
[08.02.2012] Citadel Malware Authors Adopt Open-Source Development Model - Dennis Fisher
[08.10.2012] Citadel Trojan Updates with Dynamic Config Mechanism that Streamlines Fraud Activity -
Michael Mimoso
[01.02.2013] Citadel Trojan: It’s Not Just for Banking Fraud Anymore - Michael Mimoso
[11.11.2013] IE Zero Day Watering Hole Attack Injects Malicious Payload into Memory - Michael Mimoso
[13.11.2013] Neverquest Banking Malware Gearing Up For Holiday Season - Michael Mimoso
[26.11.2013] Neverquest Banking Malware Gearing Up For Holiday Season - Michael Momoso
[04.09.2014] Neverquest Trojan Adds New Targets, Capabilities - Dennis Fisher
[24.09.2014] Researchers Work to Predict Malicious Domains - Dennis Fisher
[09.10.2014] Rovnix Variant Surfaces With New DGA - Dennis Fisher
168. Time
[16.05.2014] Global Raids Underway Against �Blackshades� Hackers - Massimo Calabresi
[09.06.2014] Report: Devastating Heartbleed Flaw Was Used in Hospital Hack - Sam Frizell
[05.08.2014] Russian hackers have acquired over one billion username and password combinations - Sam
Frizell
[06.08.2014] Everything You Need to Know About the Massive Russian Hack - Sam Frizell
[07.08.2014] The World�s Top 5 Cybercrime Hotspots - Noah Rayman
171. Trouw
[25.09.2013] Cybercriminaliteit zit straks dicht op de huid - Kristel van Teeffelen
[08.04.2014] Cyberaanvallen vaak via Nederlandse netwerken
[05.08.2014] Russische bende doet grootste internetroof ooit
[06.08.2014] Gevolg datadiefstal nog niet vast te stellen
[08.08.2014] Europol: Russische cybercriminelen gevaar voor internetgebruiker - Floris Bodegraven
172. Tweakers
[10.02.2014] Kabinet maakt straffen voor cybercrime strenger - Joost Schellevis
[13.06.2014] Hackers maken gegevens 650.000 Domino's Pizza-klanten openbaar - Yoeri Nijs
173. Verizon
[2014] Data Breach Investigations Report (DBIR)
174. Volkskrant, De
[15.09.2011] Bezorgde hackers bieden overheid hulp aan
[23.05.2012] Nederland koploper in afluisteren telefoons - Wil Thijssen
[01.06.2012] Bedreiging voor overheden en bedrijven - Wouter Keuning
[29.06.2012] ‘Te weinig kennis en aansturing bij politie over aanpak cybercrime‘
[06.07.2012] Digitale spionage blijft grote dreiging
[04.08.2012] Nederland ‘niet of nauwelijks beveiligd tegen cyberaanval’ - Will Thijssen
[09.08.2012] Computervirus Sasfis gemist door scanners
[10.08.2012] ‘Eén hacker kan heel Nederland platleggen’
[01.11.2012] Nieuw lek onthuld: 13.656 bedrijven zijn ‘eenvoudig’ te hacken - Wil Thijssen
[27.03.2013] Nederlands bedrijf aanstichter van grootste cyberaanval ooit’ - Martijn Baars
[02.10.2013] Smartphone gaat mee naar bed maar wordt niet beveiligd
[26.10.2014] Software 'gijzelt' pc voor 300 euro losgeld - Peter van Ammelrooy
[30.10.2013] Computervirus dat kinderporno toont duikt op
[02.11.2013] Hoe hackers ons in het hart raken - Bard van de Wijer
[04.11.2013] Via virtueel Filipijns meisje 1000 kindermisbruikers getraceerd
[05.11.2013] Virtueel meisje lokt man op zoek naar webcamseks - Willem Feenstra
[16.01.2014] 'Populist wil scoren met de inzet van lokpubers' - Sydney Smeets
[08.04.2014] Heartbleed: ernstig lek in beveiligde internetverbindingen - Thomas van der Kolk
[21.04.2014] NCSC: 50.000 Nederlandse accounts gekraakt bij Duitse datadiefstal
[19.05.2014] ‘VS klaagt China aan wegens cyberspionage’
[10.06.2014] ‘Cybercrime kost Nederland jaarlijks 8 miljard’ - Michael Persson
[01.07.2014] Russen hacken westerse energiebedrijven
[12.07.2014] Onderwereld ontdekt in hoog tempo internet
[06.08.2014] Russische bende verzamelt 1,2 miljard wachtwoorden
[07.08.2014] Bescherm uw wachtwoorden tegen de hackersbende: vijf tips - Thomas van der Kolk
[08.08.2014] Politie gebruikt mogelijk omstreden spionagesoftware - Michael Persson
[08.08.2014] 'Grootste datadiefstal' lijkt marketingstunt - Michael Persson
[12.08.2014] Trapte New York Times in marketingtruc van het schimmige Hold Security? - Michael Persson
[17.08.2014] Rusland woedend over arrestatie van hacker in Amerika
[18.08.2014] Geraffineerde bankrovers veroordeeld voor stelen van 45 miljoen euro
[25.09.2014] Nieuw digitaal lek: 'Gevolgen groter dan bij Heartbleed' - Michael Persson
[27.09.2014] Hoe online coffeeshops een miljoenenomzet draaien - Sybren Kooistra & Jeroen Trommelen
[27.09.2014] 'De crimineel zelf is de zwakke schakel' - Michael Persson & Jeroen Trommelen
[29.09.2014] High online - Xander van Uffelen
[29.09.2014] De overheid heeft onvoldoende zicht op onlinedrugshandel - Xander van Uffelen
[30.09.2014] Hackers stelen trainingssoftware Apache-gevechtshelikopters
[18.10.2014] Cybercriminelen gijzelen computers, PostNL waarschuwt voor nep e-mails - Yoshi Tuk
180. Webwereld
[14.01.2004] Politicus weg na beschuldiging cybercrime
[19.05.2008] Nederland voert oorlog tegen cybercriminaliteit op - Brenno de Winter
[01.02.2010] China hackt Britse bedrijven met usb-sticks - Sander van der Meijs
[23.08.2010] Cybercrime in Nederland groeit exponentieel
[05.12.2010] ‘Chinese hackers hebben broncode Windows’ - Udo de Haas
[14.06.2010] Grote datadiefstal bij IMF
[04.06.2011] Onverschilligheid zorgt voor golf aan cybercrime
[01.07.2011] EC weigert inzage in cybercrimeverdrag met VS - Brenno de Winter
[26.10.2011] Massale cyberaanvallen treffen Japan - Andreas Udo de Haes
182. Wikileaks
[01.12.2011] SpyFiles 1
[08.12.2011] SpyFiles 2
[04.09.2013] SpyFiles 3
[15.09.2014] SpyFiles 4
183. Wikipedia
Cybercriminaliteit
185. Wired
Archive: Cybercrime
[03.05.2000] Cybercrime Solution Has Bugs - Declan McCullagh
[06.02.2001] The Greatest Hacks of All Time - Michelle Delio
[05.03.2003] Cybercrime Follows Money Trail - Joanna Glassner
[12.12.3004] They’ve Got Your Number ... - Annalee Newitz
[27.03.2006] Cybersquatters Try New Tactics - Jacob Ogles
[28.07.2006] Confessions of a Cybermule - Kim Zetter
[15.09.2006] Cybercrime Is Getting Organized - Reuters
[27.12.2006] Prospects for CyberCriminality, 2007 - Bruce Sterling
[22.09.2007] Fake Factoid Virus: �Cybercrime More Lucrative Than Drug Trade� - Kevin Poulsen
[05.09.2008] Israeli Hacker ‘The Analyzer’ Suspected of Hacking Again - Kim Zetter
[30.09.2008] ‘The Analyzer’ in U.S. Provisional Custody in Canada - Kim Zetter
[13.10.2008] Cybercrime Supersite �DarkMarket� Was FBI Sting, Documents Confirm - Kevin Poulsen
[22.12.2008] One Hacker's Audacious Plan to Rule the Black Market in Stolen Credit Cards - Kevin Poulsen
[24.03.2009] ‘The Analyzer’ Hack Probe Widens; $10 Million Allegedly Stolen From U.S. Banks - Kim Zetter
[25.08.2009] ‘The Analyzer’ Pleads Guilty in $10 Million Bank-Hacking Case - Kim Zetter
[31.12.2009] The Decade�s 10 Most Dastardly Cybercrimes - Kevin Poulsen
[12.02.2010] Record 13-Year Sentence for Hacker Max Vision - Kevin Poulsen
[12.04.2010] Take From ATM Malware Caper Exceeded $200,000 - Kim Zetter
[27.05.2010] Five Alleged Money Mules Indicted in Bank Theft - Kim Zetter
[30.09.2010] U.S. Charges 37 Alleged Mules and Others in Online Bank Fraud Scheme - Kim Zetter
[01.10.2010] 5 Key Players Nabbed in Ukraine in $70-Million Bank Fraud Ring - Kim Zetter
[14.01.2011] Security Researcher, Cybercrime Foe Goes Missing - Kim Zetter
[14.01.2011] Security Researcher, Cybercrime Foe Goes Missing - Kim Zetter
[31.01.2011] How to Hack an ATM - Nick Veronin
[31.01.2011] Your Guide to Crimeware Apps - Noah Shachtman
[31.01.2011] How a Remote Town in Romania Has Become Cybercrime Central - Yudhijit Bhattacharjee
[22.02.2011] Book Excerpt: Kingpin � How One Hacker Took Over the Billion Dollar Cyber Crime
Underground - Kevin Poulsen
[15.06.2011] Hack hack hack hack hack hack - Bruce Sterling
[05.10.2011] How the M00p Malware Gang Was Brought Down - Kim Zetter
[19.11.2011] Anonymous Hacks Back at Cybercrime Investigators - Quinn Norton
[20.11.2011] In Las Vegas Courtroom, First Ever Cybercrime RICO Trial Begins - Kevin Poulsen
[10.05.2012] The 2012 Cyber Attacks Timeline Master Index - Bruce Sterling
[05.07.2012] ‘The Analyzer’ Gets Time Served for Million-Dollar Bank Heist - Kim Zetter
[01.08.2012] Does Cybercrime Really Cost $1 Trillion? - Peter Mass & Megha Rajagopalan
[07.09.2012] Sleuths Trace New Zero-Day Attacks to Hackers Who Hit Google - Kim Zetter
[25.10.2012] Cybercrime: Mobile Changes Everything — And No One’s Safe - Markus Jakobsson
[05.11.2012] Russian Underground Offers Cybercrime Services at Dirt-Cheap Prices - Ian Steadman
186. WorldCrunch
[09.03.2012] And If The Internet Went Black? - Ulrich Clau
[17.12.2012] Welcome To The Deep Web: The Internet's Dark And Scary Underbelly - Pablo Albarrac�n &
Christopher Holloway
[22.09.2014] Where The Web Thugs Are: Inside Russia's Cyber Underworld - Mehdi Atmani
190. Xinhuanet
[13.12.2006] Experts predict more Internet crime in 2007
[08.02.2010] Biggest hacker training site shut down in China
[08.02.2010] China seizes leading hacker training website
[21.05.2012] Public demanding law on cyber security: survey
[29.05.2012] China calls for unified rules to counter cyber crime
[26.07.2012] Cybercrime flourishes in new areas - Zhang Yan & Xu Jingxi
[30.05.2014] Sydney woman cons lonely men of millions
[11.07.2014] U.S. denies involvement in arrest of Russian MP's son in Maldives
[12.08.2014] Austrian cybercrime on the increase in 2013: report
[18.09.2014] EU helps Croatia fight cybercrime
[25.09.2014] Experts warn of growing cyber threats on privacy
191. YouTube
[14.09.2007] Cyber Crime Toolkits [4:40] - Jesse Hirsch (CBCNews)
[13.07.2010] Hacking the Future [14:26] - Paul Pablos Holman (TEDx Talk)
[22.10.2010] Hacking Work [17:28] - Josh Klein (TEDx Talk)
25 January, 2015
Eerst gepubliceerd: Oktober, 2014