2SocioSite: CYBERCRIME

SocioSite: CYBERCRIME 11-01-18 01&12
Home Onderwerpen Zoek Over ons Doneer Contact
CyberCrime en het duistere internet

— Misdaad op internet en digitale opsporing—
dr. Albert Benschop

Universiteit van Amsterdam
Internet als crimineel walhalla Financiële CyberManipulatie

Slagschaduw van digitale revolutie Digidieven in soorten en maten
Nabijheid en confrontatie Stelende paarden | Zeus
Grondslag en vormen van cybercrime Banken meervoudig in de klem
Criminele voordelen van internet Bankroof in de 21 eeuw
Eigenaardigheden van cybercrime EEX: CO2 kredietzwendel
Veiligheid: kwetsbaarheden van ict Europese btw-fraude
Risico’s: onveiligheid & kwetsbaarheid NASDAQ: beurzen kraken
Complexiteit | Productie | Gebruik Flitshandel en beursmanipulatie
De kracht van kwaadaardige software Beperking van risico�s door snelheidslimieten?
De pest is uitgebroken Ontregeling van financiële markten
Malware varianten Gereedschap van cybercriminelen
DDoS-aanvallen: klassiek en geavanceerd Encryptie van bestanden
Software ru�neert hardware Dedicated server
Mobiele malware Proxy server
Beveiliging en verdediging Organisatie en werkwijze
Passieve verdediging: Reactief | Proactief Evolutie: specialisatie & professionalisering
Actieve verdediging: Cybercriminele ketens
Preëmptief | Tegenaanval | Misleiding Automatisering
CyberCriminelen Cybercriminele casu�stiek
Wat doen cybercriminelen? Bredolab | Telefoonhengelaars
Kwalificaties | Organisatie: coördinatie en leiding Romantische fraude | Voorschotfraude
Tactiek en strategie Economie van cybercrime
De kunst van de misleiding Kosten van cybercrime
De zwakste schakel Lastige calculaties
Methodieken van sociale misleiding Status van schattingen
Hengelen: ongericht en gericht Zwarte cybermarkt
Chantage en afpersing met ransomware Het duistere diepe web
Cyrberinlichtingen Digitaal sporenonderzoek
Informatie vergaren Digitale sporen | Mobiele sporen
DigiNotar: gehackt vertrouwen Speuren naar sporen
Moeizame attributie Sporen verbergen & wissen
Beveiligingscontrole & penetratietest Proactieve opsporing
Automatische spionnen Digitale veiligheid NL
Wachtwoorden kraken Slagkracht door samenwerking - NCSC
Akoestische penetraties Digitale huiszoeking — Politieel hackrecht
BlackShades: een RAT van formaat Team High Tech Ccrime
CyberVor: de grootste hack? Internet Research Netwerk
Cyberspionage in Nederland FinFisher in Nederland
Toekomst van cyberspionage Trends in cybercrime
Bedrijfspionage Europa - Europol
Commerci�le bedrijfsspionage EC3 | Europol — J-CAT
Bedrijfsspionage in cyberspace Eurojust
Wie steelt wat en waarom? Nomadische gedachten
Spioneren in de wolken Leven met onzekerheden
http://www.sociosite.org/cybercrime.php Pagina 1 van 222

Kwetsbare digitale boezem

Afbakening van begrip
Het internet der dingen
Overheidsbeleid
Informatiebronnen
Verwante teksten
CyberOorlog — Internet als slagveld
Toezicht op internet: de surveillancestaat
CyberTerrorisme — Dodelijk geweld vanaf het toetsenbord
Jihad in Nederland: Kroniek van een aangekondigde politieke moord
Regulatie en zelfregulatie van internet
Encryptie: privacy beschermen
“Cyberwapens zijn de gevaarlijkste innovatie Cybercriminaliteit moet primair worden

van deze eeuw” [Eugene Kaspersky, New York onderzocht vanuit een sociaalwetenschappelijk
Times, 3.6.12]. in plaats van een technologisch perspectief.
Cybercriminologie onderzoekt de oorzaken,
organisatie en werking van misdaden die in
cyberspace plaats vinden en van de gevolgen
daarvan in de lokale wereld.
Internet als crimineel walhalla
Slagschaduw van digitale revolutie

Bijna iedereen is het erover eens: cybercriminaliteit en het crimineel misbruik van het internet
door al dan niet georganiseerde misdadigers moet bestreden worden. Misdadigers die zichzelf op
illegale wijze proberen te verrijken, of die er andere praktijken op nahouden die niet door de
beugel van de recht passen —zoals kinderporno, discriminatie of andere uitingsdelicten— maken
bij de voorbereiding en uitvoering van hun daad bijna allemaal gebruik van het internet en
mobiele communicatie, of begaan ze op dit domein zelf. Dit laatste noemen we cybercriminaliteit
of cybercrime.
Internet is een integraal deel van ons dagelijks leven geworden. Het heeft veel zegeningen met
zich meegebracht, maar ook de slagschaduw die elke grote technologische uitvinding op de voet
lijkt te volgen: criminaliteit. Cyberspace is een aantrekkelijk jachtgebied voor criminelen. Er valt
veel geld te halen en allerlei soorten informatie (persoonsgegevens, patenten, bedrijfsgeheimen,
technologische kennis) die in geld kunnen worden omgezet.
Door de exponenti�le groei van informatie- en communicatietechnologi�n worden veel

traditionele misdaden nu uitgevoerd met behulp van computers en netwerken (internet enabled
crime. Daarnaast zijn er ook niewe vormen van criminaliteit ontstaan die misgebruik maken van

de ongekende mogelijkheden van informatie- en communicatiesystemen (internet specific crime).

Juist deze niet-traditionele of digitale vormen van cybercrime vereisen van onze politi�le en
justiti�le rechthandhavers een aanzienlijke inspanning om deze cybercriminelen te identificeren,
te arresteren en gerechtelijk te vervolgen.
Landen met een geavanceerde internet infrastructuur en internet-gebaseerde economie en

betalingssysteem.
Grote vari�teit aan vormen van cybercrime:
Misdaden die door georganiseerde groepen worden gepleegd om grote criminele winsten te
genereren zoals online fraude.
Misdaden die serieuze schade berokkenen aan het slachtoffer, zoals online seksueel van
kinderen.
Misdaden die de kritische infrastructuren raken zoals systemen voor productie en distributie,
voor banken en beurzen, voor waterkeringen en kerncentrales, voor vervoer en verkeer, en
voor informatie en communicatie.
Er zijn misdaden die gericht zijn tegen de infrastructuren van onze computersystemen en
netwerken en er zijn misdaden die online worden begaan. Dit omvat alle delicten van
kwaadaardige software, hacking, phishing, intrusie, manipulatie, identiteitsdiefstal en fraude, tot
aan grooming en online seksuele exploitatie van kinderen.
De schaal van cybercriminele activiteit stelt de handhavers van de rechtstaat voor grote
problemen. De totale kosten van cybercrime voor de samenleving zijn aanzienlijk [—>Kosten van
Cybercrime]. Cybercrime is inmiddels nog winstgevender dan de totale handel in marijuana,
coca�ne en hero�ne samen.
Internet is een walhalla voor de cybercrimineel. De cracker waant zich almachtig, boven de wet
verheven en onaantastbaar. Cyberspace is een vrijstaat, met open grenzen en onduidelijke
spelregels. Omdat de verdachten zo moeilijk zijn te tracenren worden cybermisdaden zelden
bestraft. Daarin lijkt maar langzaam verandering te komen. Opsporingsinstanties treden steeds
effectiever en vaker op tegen criminele hackers. Maar er is nog veel onduidelijkheid over wat
digitale rechercheurs mogen doen en welke bijzondere opsporingsmiddelen zij daarbij mogen
gebruiken (pseudokoop, of infiltratie, deze actieve deelname aan een crimineel netwerk).
Wat is een cybercrime en welke soorten van online bedreven delicten zijn er? Hoe ontwikkelen die
verschillende soorten van cybercrime zich in Nederland en de rest van de wereld? Waarom zijn
cybercriminelen tot nu toe zo succesvol?

En wat kunnen wetshandhavers doen om het tij te keren? Hoe komen politie en justitie op het
spoor van de daders van cyberdelicten? Hoe kun je achterhalen wie er verantwoordelijk is voor
een specifieke cybercrime? Wat zijn de digitale sporen die cybercriminelen achterlaten? Met welke
middelen kun je deze sporen analyseren? En tenslotte de preventie: wat zou er aan de
infrastructuur van het internet en aan ons eigen gedrag moeten veranderen om cybercrime te
voorkomen?
Nabijheid en confrontatie
@@@
Internet is een medium van sociale nabijheid. Het faciliteert sociale en intieme contacten tussen
mensen ook wanneer zij niet binnen een tijdruimtelijk verband fysiek aanwezig zijn. Vanaf grote
afstand kunnen we nu virtueel voor elkaar aanwezig zijn.
Internet stelt ons in staat om op afstand en mobiel met elkaar te communiceren en informatie uit
te wisselen. Dank zij internet en mobiele communicatieapparatuur kunnen we elkaar op elk
gewenst tijdstip en overal bereiken. Er is een nieuwe digitale leefomgeving ontstaan, een virtuele
leefwereld die in al haar vezels en haar�vaten verankerd is in de lokale, fysieke wereld.
Internet dringt diep door in ons alledaagse en persoonlijke en publieke leven. De meest
uiteenlopende activiteiten worden tegenwoordig virtueel afgehandeld. We werken en studeren via
internet. We gebruiken internet om met elkaar te com�mu�niceren en van informatie te
voorzien. We kopen goederen en diensten op com�merciële websites en via online bankieren
regelen we ons betalingsverkeer. We amuseren ons op internet en spelen online spelletjes. We
geven lucht aan onze emoties, publiceren onze meningen, verhalen en analyses en we leveren
online kritiek op anderen. In webfora uiten we onze diepste gevoelens en delen virtueel lief en
leed met elkaar. Internet is een medium van sociale nabijheid en van creativiteit.
In Nederland zijn de individuele burgers en de samenleving als geheel sterk afhankelijk geworden
van de informationele en commu�nicatieve mogelijkheden van het internet. Juist daarom zijn we
op dit punt ook erg kwetsbaar geworden. We zijn afhankelijk geworden van systemen die we niet
kunnen beschermen tegen kwaadaardige aanvallen.
We merken pas hoe afhankelijk we zijn van het internet als het niet meer werkt, of niet meer
werkt zoals wij verwachten. Individuele burgers, ondernemingen en overheden lopen averij als de
computersystemen en netwerken door kwaad�wil�len�den wordt gemanipuleerd en ontregeld.
Internet heeft ons veel nieuwe mogelijkheden en comfort geboden. Maar het biedt juist ook veel
schaduwzijden. Die duistere kant van het internet loopt van online bedreigingen en cyberbelaging,

tot online pedofilie tot identiteitsdiefstal en schending van privacy, van cybercriminaliteit (fraude,
diefstal, oplichting) tot cyberterrorisme, en eindigt met nationale staten die via het internet
elkaars vitale infrastructuren ontregelen en zelfs fysiek vernietigen. We kunnen via internet
worden bedreigd, bespioneerd, afgeperst, bestolen en beschadigd.
Internet is zowel medium als inzet van maatschappelijke en politieke strijd. Het is het virtuele
toneel geworden waarop maatschappelijke conflicten worden uitge�vochten. Activisten met de
meest uiteenlopende doelstellingen en strijdmetho�den gebrui�ken internet als platform om zich
virtueel te organiseren: zij publice�ren hun kritieken, programma�s en eisen; zij werven
aanhan�gers en fondsen; zij mobiliseren hun achterban; zij protesteren bij hun
con�flict�tegenstanders of blok�keren hun internetlocaties; en zij organiseren internationale
solidariteit. Bur�gers in landen met dictatoriale regimes gebruiken internet om het
staats�monopo�lie op tv, radio en kranten te doorbreken. Zij associ�ren zich in de virtuele
ruimte als �wolkbe�we�ging� om daarna onverwachts in de publieke ruimte op straten en
pleinen massaal in beweging te komen.
Internet wordt gebruikt door een uitgebreide schare cybercriminelen die zich onrechtmatig
proberen te verrijken. Het zijn de kleine fraudeurs, gouw�die�ven en bedriegers die telkens weer
nieuwe trucs bedenken om geld te stelen van parti�cu�lie�ren en ondernemingen. Er zijn ook
internatio�naal georganiseerde criminelen en misdaadsyndicaten die gigantische sommen geld
stelen door goed georkes�treerde cyberovervallen op banken en door zeer geraffineerde
beursmanipulaties.
Cyberterroristen gebruiken om hun gewelddadige aanslagen op civiele doelen voor te bereiden

en om mensen angst aan te jagen met beelden van hun ver�nietigende acties. Zij brengen via
internet hun klachten en eisen voor een groot publiek, zij organiseren hun internationale virtuele
netwerken en lokale cellen en zij co�rdineren hun acties online.
Daarnaast zijn er tal van paramilitaire groepen en netwerken van nationalis�tische hackers die
min of meer los of juist op instigatie van hun nationale over�heden grootschalige cyberaanvallen
lanceren op buitenlandse websites, data�banken, servers, computersystemen en netwerken. Zij
maken mees�tal gebruik van de oude techniek van de DoS-blokkade (het overstromen van een
website of server met automatisch gegenereerd verkeer: een soort digitale sit-in) en van de
webonthoofding (het vervangen van de hoofdpagina van een site met een eigen boodschap). In de
loop der tijd wordt ook door hen meer gebruik gemaakt van de verspreiding van geavanceerde
kwaadaardige software.
Cyberaanvallen richten steeds meer schade aan. Zij belemmeren en ontre�ge�len regelmatig
vitale bedrijfssectoren, nutsvoorzieningen, financi�le markten en staatsinstellingen. De niet-

statelijke vormen van cyberagressie worden echter steeds meer overtroffen door nationale
staten die hun militaire capaciteiten hebben uitgebreid met krachtige cyberwapens waarmee
internationale conflicten worden uitgevochten. Militaire cyberwapens worden bedacht en
ontworpen door zeer goed gekwalificeerde specialisten op het gebied van het inbreken (hacken)
op en manipuleren van vijandige computersystemen.
Cyberoorlog, cyberspionage, cyberterrorisme, cybercriminaliteit, cyberactivisme en

cybervandalisme worden vaak op één grote hoop gegooid. Hoewel er bij al deze verschijnselen
gebruik wordt gemaakt van vergelijkbare en soms zelfs identieke instrumenten, verschillen zij
aanzienlijk zowel in hun doelstelling en methodiek als in de aard van de actoren en hun
institutionele inbedding. In de volgende tabel zijn deze verschillen schematisch geordend.
Cyberconflicten
Doel Methode
CyberVandalisme Verdrijven van verveling, irriteren Het vandaliseren van willekeurige sites en servers “voor
om aandacht. Geen de lol” of uit nieuwsgierigheid: “kijken of het kan”.
maatschappelijk, politiek of
financieel doel.
CyberActivisme Articuleren van maatschappelijke Activistische propaganda: aandacht vragen voor

belangen en van politieke maatschappelijke problemen middels het tijdelijk
doelstellingen; aanklagen van blokkeren van de toegang tot sites en servers (denial-
exploiterende, repressieve en of-service aanvallen als virtuele sit-in) en het
discriminerende machthebbers. onthoofden van sites (vervangen van homepage door
eigen mededeling). Hacktivisten gebruiken meestal
kortdurende denial-of-service aanvallen of publiceren
gevoelige informatie van hun doelwitten als vorm van
politiek protest. Meer radicale groepen zouden echter
ook meer systematische effecten kunnen
bewerkstellingen, zoals het ontregelen van financiële
netwerken. Hun cyberacties kunnen zelfs per ongeluk
gevolgen hebben die geïnterpreteerd worden als een
door een staat gesteunde aanval.
CyberCriminaliteit Illegale zelfverrijking: geldkopperij Opportunistisch, niet ideologisch, niet strategisch:

door diefstal, oplichting, afpersing inbreken, pakken wat je kan en wegwezen (hit and
en fraude. run). Cybercriminelen kopen en verkopen op de zwarte
markt instrumenten waarmee kan worden ingebroken
op vitale infrastructuren en die gemakkelijk in handen
kunnen vallen van agressieve staten, paramilitaire of
terroristische organisaties.
CyberTerrorisme Vijanden van de juiste leer zoveel Ideologisch niet op geldelijk winst gericht.
mogelijk schade berokkenen: angst Spectaculaire cyberaanslagen op als vijandig
zaaien. gedefinieerde digitale doelwitten.
Terroristische organisaties hebben steeds meer
belangstelling voor de ontwikkeling van offensieve
cybercapaciteiten. Hun slagkracht is beperkt door de
beschikbare intellectuele en organisationele bronnen

en, en door concurrerende prioriteiten.
CyberSpionage Verwerven van informatie over Clandestien penetreren in vijandige informatiesystemen

vijandige of potentieel vijandige om daar heimelijk informatiebestanden te vervreemden
strijdkrachten. Economische of of communicaties af te luisteren.
bedrijfsspionage is gericht op het
stelen intellectueel eigendom en
bedrijfsgeheimen van
concurrerende ondernemingen.
CyberOorlog Vernietigen of beschadigen van Strategisch en niet opportunistisch: doelwitten bepalen,

vitale systemen van vijandige cyberwapens in stelling brengen, gericht aanvallen,
staten met offensieve monitoren van effecten.
cyberwapens.
Aan deze opsomming zou nog «hacken» kunnen worden toegevoegd. De meeste ethische of white hat hackers
inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen en netwerken. Hun doel is het
aantonen —middels volledige of verantwoordelijke bekendmaking— dat deze systemen en netwerken inadequaat
beveiligd zijn en dat het mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven
als ‘binnendringen omdat het kan’ en ’lekken zoeken omdat er lekken zijn’, zonder onnodige schade aan te richten.
Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste cyberveiligheid.
Internet is geen echt veilige plek. Ons leven in cyberspace is extreem

kwetsbaar voor criminele aanvallen. Informatie- en
communicatievoorzieningen zijn de wegen en bruggen van het
informatietijdperk en daarom ook het primaire werkterrein van
criminelen die op illegale wijze snel rijk willen worden.
Grondslag en vormen van cybercrime
Voordelen van cybercriminelen

Vier/vijf soorten
1. Toegang blokkeren
2. Bedrijfsspionage
3. Inbreken en controle overnemen
Gericht op financieel gewin: (a) grootschalige aanval op bankklanten met gebruik van
malware stelen van fondsen/plundereen van rekeningen; (b) Fraude tegen bakend
betalingssystemen.
4. directe cybotage: Hardware vernietigen met software.

5. Indirecte cybotage: destructieve cyberaanval tegen meerdere bankdatacentra. Eventueel
ook: gerichte, duurzame DDoS-aanval tegen meerdere internetsystemen. (DNS - zie
cyberbunker)
Cybercriminelen hoeven niet fysiek aanwezig te zijn op de plek van de misdaad, terwijl er veel te

halen valt. In tegenstelling tot de conventionele misdaad, kan een cybercrimineel meerdere
misdaden op hetzelfde moment plegen. Het is een ‘high profit, low risk’ markt.
De digitale revolutie heeft de wijze van criminaliteit op minstens drie manieren veranderd: de
middelen, het domein en de organisatie.
In de eerste plaats zijn de middelen waarmee het delict wordt begaan. Klassieke criminaliteit
werd bedreven met fysiek geweld en fysieke middelen (breekijzers, wapens). Bij
cybercriminaliteit speelt fysiek geweld geen rol en wordt gebruik gemaakt van ‘zachte’ digitale
wapens: computercodes. De criminelen van vandaag dragen niet allemaal een vuurwapen of
een mes, maar ze hebben wel allemaal minstens een smartphone, tablet, pc, webmailaccount
en soms zelfs een Facebookprofiel.
In de tweede plaats is het domein van de misdaad uitgebreid. Cyberspace is een geheel nieuw
domein waarvan de infrastructuur gevormd wordt door computersystemen en virtuele
netwerken. In dat domein regelen we tegenwoordig al onze bankzaken, we bestellen er onze
goederen en diensten, we verrichten er een groot deel van ons werk, we koesteren er onze
sociale en intieme contacten enz. Ons dagelijks leven erg afhankelijk van geworden van het
goed en betrouwbaar functioneren van het internet en van mobiele communicatienetwerken.
Wat is Cyberspace?
«Internet» is het wereldwijde netwerk van computernetwerken dat de TCP/IP netwerkprotocollen gebruikt om
communicatie en overdracht van informatie te faciliteren. Internet vormt samen met mobiele netwerken de
materiële infrastructuur van cyberspace.
«Cyberspace» is het geheel van virtuele (door internet en mobiele communicatie gefaciliteerde en
gemedieerde) interacties en transacties tussen mensen. Cyberspace is dus gedefinieerd door de sociale
interacties en transacties die zich via digitale media voltrekken en niet zozeer door de technologische
eigenaardigheden van het internet of mobiele telecom.
De digitale informatie en communicatie zijn een basistechnologie geworden van moderne

samenlevingen. Internet en mobiele communicatie dringen door in alle poriën van ons publieke
en particulieren bestaan. Onze samenleving is sterk afhankelijk geworden van de stabiliteit van
informationele en communicatieve infrastructuren. Bovendien ondersteunt het internet in
toenemende mate besturingsprocessen van vitale infrastructuur, zoals het bankenverkeer, het
elektriciteitsnetwerk en het water- en rioolbeheer. Het zijn allemaal systemen die van cruciaal
belang zijn voor het dagelijkse maatschappelijke leven.
In de derde plaats wordt de organisatie van het delict gevirtualiseerd. Criminele activiteiten
waren altijd al afhankelijk van de nauwkeurigheid en betrouwbaarheid van de informatie
waarover men beschikt. WIJZIG: De media waarmee deze informatie werd ingewonnen en
overgedragen, konden door de conflicttegenstander worden gemanipuleerd en verstoord. In het

digitale tijdperk is dat niet anders. Computersystemen en -netwerken zijn een belangrijk
kanaal geworden voor de uitwisseling van militaire commando- en stafinformatie door het
leveren van tekst, geluid, afbeeldingen en streaming video.
Criminaliteit is technologie gedreven

Ook criminelen zijn in toenemende mate afhankelijk van informatietechnologie�n om te communiceren,
activiteiten aan te sturen, inlichtingen te verzamelen en operaties te co�rdineren. Je hoeft zelfs niet in de
voorhoede van deze technologieën te verkeren als je maar slim en sluw genoeg bent om je telkens aan de passen
aan de specifieke onstandigheden.
Eigenaardigheden van cybercrime

Internet is een nieuwe arena geworden waarin mensen die zich op onwettige wijze proberen te
verrijken in conflict komen met mensen die zijn aangesteld om de wetten van de rechtsstaat en
daarmee de rechten van de burgers te verdedigen. Er is een nieuwe fase onstaan in de al eeuwen
durende strijd tussen wetsovertredens en wetshandhavers.
1. Cybercrime — definitie
ICT heeft een grote betekenis gekregen voor de verschijningsvormen en werkwijzen van
georganiseerde misdaad. Een substantieel deel van traditionele georganiseerde misdaad heeft
inmiddels de overstap naar cybercriminaliteit gemaakt. Klassieke delicten (bankoverval,
afpersing, fraude) worden door gebruik van internet verrijkt. Maar er ontstaan ook nieuwe
vormen van criminaliteit.
Computer/cyber ondersteunde misdaad = mensen die zich bezig houden met normale misdaad
waarbij gebruik gemaakt wordt van computers om effici�nter en op grotere schaal te
opereren. Klassieke delicten worden mede door gebruik van ict gepleegd. Voorbeelden daarvan
zijn acquisitiefraude, fraude met betaalmiddelen, beleggingsfraude, productie en verspreiding
van kinderporno, fraude op online handelsplaatsen, telecomfraude, voorschotfraude, skimming,
bedrijfsspionage, afpersing en ladingdiefstal.
Cybercrime wanneer mensen daadwerkelijk inbreken in computersystemen en dan de interne

informatie gebruiken om financieel of commerciele winst te behalen. Cybercrime is een delict
waarbij informatie- en communicatietechnologie van wezenlijk belang is voor de uitvoering
ervan []
Er is nog een derde manier waarop ict gebruikt wordt door criminelen: in hun strijd tegen
politie en justitie maken zij gebruik van verschillende simkaarten, hotspots, VoIP-programma’s,
chatprogramma’s, online opslagdiensten, cryptofoons, stemvervormers, stealthphones, gsm-
afluisterzenders, gsm- en gps-jammers, peilbakens en sweepers. Het Tor-netwerk wordt
gebruikt voor wapenhandel, mensenhandel, drugshandel en handel in gestolen creditcards,

maar ook om liquidaties te regelen [Nationale Dreigingsbeeld 2012].
Het is een misdaad zonder geweld. Trekt ook andere soorten mensen aan.
Oorlog is het gebruik van militaire kracht om een andere natie aan te vallen en haar
capaciteiten te beschadigen of te vernietigen en haar wil tot verzet te breken. Een cyberoorlog
is een militair conflict tussen nationale staten dat in de virtuele ruimte wordt uitgevochten met
de middelen van informatie- en communicatietechnologie. Een cyberoorlog bestaat uit militaire
operaties die zich met zuiver digitale middelen richten op het manipuleren, ontregelen,
degraderen of vernietigen van computersystemen en infrastucturele netwerken van een
vijandige macht of mogendheid.
2. Misdaad op afstand
De klassieke misdaad —diefstal, bankroof, wapen- en mensensmokkel, drugscriminaliteit— zijn
fysiek van aard. Er zijn mensen en objecten die van plaats veranderen en die de grens
overgaan. Bij een cybercrime is er geen fysiek contact tussen misdadiger en slachtoffer en
worden ook geen objecten van plaats veranderd. Cybercrime is een «delict op afstand» een
«teledelict».
Cybercriminaliteit voltrekt zich in een andere wereld: de cyberwereld. Daarbij is de fysieke

afstand tussen crimineel en slachtoffer van geen enkel belang. Het enige dat van plaats
veranderd en razendsnel over alle grenzen heengaat zijn bits en bytes. Cybercrime vindt plaats
in een virtuele wereld van onzichtbare knooppunten in elektronische netwerken.
3. Programmacode als inbraakijzer

Het instrumentarium waarmee een cybercrime wordt begaan is geen
hardware (wapens, breekijzer, springstof), maar kwaadaardige
software (malware). Het zijn digitale programmacodes waarmee
beveiligingen van computers en communicatienetwerken worden
gekraakt, gevoelige informatie wordt gestolen of veranderd, of
waarmee de controle over computers wordt overgenomen.
4. Geen fysieke sporen
5. Drempelverlaging
Cybercrime is laagdrempelig. Het kost een aanvaller bijna niets om een digitaal breekijzer
(crimeware) aan te schaffenin vergelijkingmet de winst die het kan opleveren. Cybercriminelen
kunnen snel schade toebrengen, vanaf iedere plek aan iedereen op de aardbol, tegen
verwaarloosbare kosten. Om cybercrimineel te worden hoef je geen computergenie te zijn. Je
hoeft zelf geen onderzoek te doen naar kwetsbaarheden in programmacode en je hoeft

daarvoor zelf ook geen exploitatiemethodiek te ontwerken.
Nieuwe actoren: De digitale technologie heeft individuen krachtiger gemaakt als nooit tevoren.
Teenagers die alleen opereerden zijn erin geslaagd om controlesystemen van vliegvelden te
ontregelen, grote online webshops plat te leggen en om de handel op de Nasdaq-beurs te
manipuleren. En wat individuen kunnen, dat kunnen organisatie ook en meestal beter.
Een georganiseerde cyberbende kan goed gestructureerd opereren zoals de traditionele maffia.
Maar het kan ook een kortdurend project zijn van een groep die een specifieke online misdaad
begaat of een specifiek slachtoffer of groep als doelwit kiest. De meeste cybercrimes worden
uitgevoerd door criminelen die opereren in los verbonden clandestiene netwerken en niet
zozeer in formele organisaties. Een cybercrime kan ook door individuen worden begaan die
alleen opereren maar die verbonden zijn aan een groter crimineel netwerk, zoals aan de
ondergrondse Tor-site van het ‘darknet’. Hoewel criminele in losse netwerken opereren wonen
de leden toch vaak relatief dicht bij elkaar zelfs wanneer hun aanvallen cross-nationaal zijn. Zij
opereren vaak in kleine lokale netwerken, of in groepen de gecentreerd zijn rond familieleden
en vrienden.
Hierdoor kunnen ook relatief kleine, in gedecentreerde netwerken georganiseerde vijanden van
een natie met uitzicht op succes een cyberoorlog beginnen. De cyberoorlog heeft dus ook
nieuwe acteurs: individuele hackers, niet-gouvernementele organisaties, terroristische
organisaties, en andere niet-statelijke actoren.
6. Crimineel werktuig voor iedereen toegankelijk

Bijna alle middelen waarmee een cybercrime kan worden begaan, zijn op het internet vrij
verkrijgbaar: inbraaksoftware en constructiekits voor mailware, procedures en lijsten met tips
en trucs, cursussen voor aspirant, gevorderde of gespecialiseerde crackers, wederzijds advies
en steun. Via internet verwerven crackers specialistische kennis van de instrumenten waarmee
computers en communicatienetwerken kunnen worden gepenetreerd om informatie te stelen,
te wijzigen of ontoegankelijk te maken, of om mobiele communicaties af te tappen, te
manipuleren of te blokkeren.
7. Complexiteit en strategisch overzicht

De technologieën waarmee cyberoorlogen worden uitgevochten vereisen vergaande
decentralisatie van commando en controle. Zij bieden echter ook een groter overzicht over het
hele strijdterrein (‘topsight’). Door een beter begrip van het hele strategische plaatje wordt het
management van complexiteit versterkt.
8. Escalatie en afschrikking

In de virtuele oorlogsvoering kunnen ver verwijderde conflicten direct naar het hart van de
aangevallen natie worden verplaatst. Kleinschalige of lokale conflicten kunnen zeer snel
escaleren tot nationale of internationale cyberstrategische confrontaties. Cyberoorlogen
vertonen een inherente tendens tot escalatie die zich nauwelijks meer beperkt worden door de
kracht van de afschrikking (die het uitbreken van een nucleaire oorlog tot nu toe heeft
voorkomen).
9. Attributieprobleem: loochenbaarheid en strafbaarheid

Cyberaanvallen kunnen gemakkelijk worden geloochend en zijn moeilijk te bestraffen. Meestal
is het onduidelijk wie het cyberdelict heeft begaan. Omdat het moeilijk is cybercriminelen
(tijdig) te identificeren, is het meestal ook niet mogelijk om gerichte tegenmaatregelen te
nemen.
Een aanval op een computernetwerk kan niet direct worden toegeschreven aan specifieke
actoren. Omdat er gebruik gemaakt wordt van zombie-computers blijft niet alleen de identiteit
van cybercriminelen, maar ook hun geografische lokatie onduidelijk.
Een toetsaanslag reist in ongeveer 300 milliseconde twee keer rond de wereld. Maar het
forensisch onderzoek dat nodig is om een cybercrimineel te identificeren kan weken, maanden
en zelfs jaren duren — als het überhaupt al lukt om dit te doen. Het is extreem moeilijk om
vast te stellen waar een cyberaanval precies vandaan komt en wie daarvoor verantwoordelijk
is. En als je niet weet aan wie je een cybercriminele aanval kunt toeschrijven, is het onmogelijk
om zo’n delict te bestraffen.
In cyberspace loopt de verdediging structureel achter op de criminele aanval:

tegenmaatregelen komen altijd te laat en vaardige cybercriminelen vinden altijd weer nieuwe
zwakke plekken.
Attributieprobleem belemmert afschrikking

Het attributieprobleem belemmert de mogelijkheden van afschrikking. Cybercriminelen worden alleen maar
afgeschrikt wanneer de pakkans relatief groot is en de te verwachten straf zwaar [Boebert 2010].
Van afschrikking is sprake wanneer een potenti�le wetsovertreder afziet van criminele actie omdat de kans
groot is dat hij/zij hiervoor gestrafd zal worden. Dit is gebaseerd op de vooronderstelling dat cybercriminelen
rationele keuzes maken en dat het verhogen van de kosten van illegaal gedrag hen ervan weerhoudt om een
delict te plegen. In werkelijkheid plegen cybercriminelen vaak impulsief een misdaad (al dan niet onder invloed
van drank, drugs of uitzichtloze hoge schulden) of gewoon omdat de gelegenheid tot zelfverrijking zich
plotseling aandient.
Zelfs als criminelen rationeel proberen te opereren dan wordt de rationaliteit van hun beslissingen beperkt door
de gelimiteerde informatie waarover zij beschikken (hun kennis van de wetgeving en van
opsporingsmethoden). Alleen de technologisch en juridisch slimste cybercriminelen zijn in staat om hun
pakkans realistisch in te schatten. Bovendien blijkt uit vele studies dat het opvoeren van de hoogte van de
straf geen effectieve afschrikkende werking heeft. Vooral niet omdat potenti�le wetsovertreders vaak zeer

beperkte kennis van het strafrecht hebben [Guitton 2012].
Beperkte rechtsmacht
Daarbij komt direct het probleem van de beperkte jurisdictie (= rechtsmacht) om de hoek kijken. Wanneer
cybercriminelen vanuit andere landen delicten begaan, dan hebben opsporingsautoriteiten niet automatisch het
recht om hun onderzoek in dit vermoedde land van herkomst uit te voeren. De rechtsmacht heeft betrekking
op het gebied waarover een overheidsorgaan bevoegd is.
De jurisdictie is dus altijd specifiek geografisch afgebakend door het territorialiteitsbeginsel. Volgens
internationaal recht zijn de jurisdictie van de wergevende en uitvoerende macht beperkt tot het grondgebeid
van de staat waartoe zij behoren. Zij hebben dus geen rechtsmacht over het grondgebied van andere
soevereine staten. Politie en veiligheidsdiensten van het ene land hebben geen bevoegdheden (en mogen dus
geen zelfstandige handelingen verrichten) in het andere land. Dit impliceert alleen de dader van een strafbaar
feit dat in Nederland gepleegd ook in Nederland vervolgd kan worden.
Binnen de Europese Unie zijn verdragen gesloten die de politie beperkte jurisdictie geven op het grondgebied
van andere lidstaten. Zo mag de politie op grond van het Verdrag van Schengen in geval van observaties en
achtervolgingen deze activiteiten onder bepaalde voorwaarden voortzetten wanneer ze tijdens de uitvoering
een grens met een andere lidstaat passeren.
Aan gene zijde van nationale grenzen: Schengen-akkoorden

Grensoverschrijdende operationele samenwerking met andere Europese staten werd mogelijk door het verdrag
van Schengen. Door het wegvallen van de personencontrole aan de binnengrenzen van de EU vergrootte het
werkterrein en uitwijkmogelijkheden voor criminelen. Daarom werden er in het verdrag bepalingen opgenomen
over polition�le samenwerking: onder voorwaarden mochten wederzijdse politiediensten elkaar hulp verlenen,
observatie voortzetten en achtervolgingen op heterdaad voortzetten tot op het grondgebied van een andere
lidstaat.
De Schengenakkoorden stimuleerde intensievere politi�le samenwerking en kende een geclausuleerd recht toe
om personen tot buiten het nationale grondgebeid te observeren of te achtervolgen. De nationale polite mag
achtervolgingen voortzetten in alle landen die open grenzen hebben (geen paspoortcontroles). De politie van
Schengenlanden mag tien kilometer over de grens van een ander Schengenland rijden en hoogstens 45
minuten zonder toestemming wapens dragen in een ander Schengenland. Leidend beginsel is dat agenten zich
richten naar de bevoegdheden van het land waarin men op dat moment opereert.
Het Schengen Informatie Systeem (SIS) is een geavanceerde databank waarmee de verantwoordelijke
autoriteiten van de Schengenlanden gegevens over bepaalde categorie�n personen en goederen kunnen
uitwisselen. Het SIS (op nationaal niveau Sirene) is een internationaal geautomatiseerd signaleringssysteem
van personen en goederen. Het wisselt informatie uit over terrorisme, databankgegevens over DNA en
vingerafdrukken. De databank bevat informatie over mensen die gezocht worden, mensen die grote delen van
de Europese Unie niet in mogen, vermiste personen, gezochte getuigen en verdachten en gestolen
voorwerpen. Het doel daarvan is het verbeteren van de samenwerking en co�rdinatie tussen de
politiediensten en de justiti�le autoriteiten om de binnenlandse veiligheid van de lidstaten te behouden en met
name om de georganiseerde misdaad te bestrijden.
In de praktijk lijkt het SIS vooral gebruikt te worden om de immigratie te beperken. Bovendien is de kwaliteit
van de informatie slecht en daarom onbetrouwbaar. “De Duitse Federale Datenschutzbeauftragter, een privacy
waakhond, toonde in 2004 aan dat 20 procent van de onderzochte Duitse signaleringen gebaseerd is op een
onjuiste rechtsbasis, ofwel niet terecht. In Frankrijk bleek tussen 2003 en 2005 40 tot 45 procent van de
onderzochte signaleringen onjuist of onrechtmatig. In totaal zijn er ruim 17 miljoen signaleringen in het SIS
opgenomen, waarvan 1 miljoen mensen” [Europese politie en justitie samenwerking].
10. Statische verdediging werkt niet

De verdediging van de computersystemen en netwerken tegen cybercriminelen is zeer lastig.
Preventieve en defensieve maatregelen moeten áltijd succesvol zijn om cybercriminele aanval

te pareren, terwijl een criminele aanval maar ��n keer succesvol hoeft te zijn. Criminele
cyberaanvallen kunnen eindeloos worden gevarieerd, terwijl verdedigingen slechts zo sterk zijn
als hun zwakste schakel.
In cyberspace vindt een permanente wedloop plaats tussen criminelen en rechtshandhavers.

Cybercriminelen zijn daarbij niet alleen feitelijk maar ook structureel in het voordeel. De bad
guys worden steeds beter en zijn sneller dan ooit. De good guys hebben vaak al moeite om
hierop alleen maar te reageren. Een louter passieve en reactieve verdediging van
computersystemen en communicatienetwerken wordt steeds minder effectief.
De meest doorslaggevende strategische factor in de ontwikkeling van cybercrime is de toegang

tot de kennis en vaardigheden die nodig zijn om doeltreffende cyberoperaties uit te voeren. Om
niet achter te lopen in deze wedloop vindt een strijd om het intellect plaats. Politie, justitie en
veiligheidsdiensten proberen talenten te rekruteren uit hackerskringen die weten hoe zij
computersystemen kunnen kraken en manipuleren; zij organiseren speciale opleidingen om
een toekomstige generatie van cyberrechercheurs te kwalificeren.
Het grootste gevaar in deze strijd om het intellect schuilt vaak in de eigen organisatie:
ontevreden personeelsleden en rancuneuze ex-werknemers die zich laten rekruteren door
criminele bendes.
Cybercriminele bendes plaatsen advertenties op de zwarte internetmarkt om talentvolle

hackers te rekruteren. Een van de bazen van een cybercriminele syndicaat bood een Ferrari
aan voor de hacker die de beste zwendel kon bedenken [Independent, 11.5.12].
11. Kunst van de misleiding

Cybercriminelen manipuleren computersystemen en
communicatienetwerken. Zij verspreiden virussen,
wormen en Trojaanse paarden die listig langs
beveiligingsmechanismen zoals firewalls en
virusdetectoren sluipen en zij verrijken zich met behulp
van de informatie die zij wederrechtelijk vergaren.
Cybercriminelen bereiken hun doelstellingen echter niet
alleen door het manipuleren van digitale codes.
Cybercriminelen maken gebruik van de mogelijkheden

Misleiding
om de perceptie in cyberspace te manipuleren.
Gebeurtenissen kunnen via multimediale technieken volledig worden gemanipuleerd en snel
over het internet worden verspreid. @@@ UITWERKEN

12. Geen schone misdaad

Cybercrime lijkt een ‘schone’ misdaad. Er komt geen fysiek geweld aan te pas en niemand
wordt verwond of gedood. Maar er zijn wel individuele en institutionele slachtoffers die van hun
geld worden beroofd.
Een cyberdelict wordt gepleegd met louter of primair digitale middelen. Maar in haar gevolgen
kan een cyberdelict voor de slachtoffers even schadelijke gevolgen hebben als een straatroof of
een fysieke gijzeling.
Traditionele criminelen gebruikten wapens, breekijzers,en explosieven om een buit te

veroveren. Deze instrumenten zijn ‘dom’ in vergelijking met de menselijke en kunstmatige
intelligentie die in criminele software is ingebouwd.
Kenmerken Gevolgen
Kwetsbaarheid In cyberspace bestaan geen veilige havens of verdedigbare grenzen.

Kwetsbaarheid van digitale en materi�le
infrastructuren voor cyberdelicten is groot.
Lage toegangskosten Verspreiding van inbraaksoftware is oncontroleerbaar. Hierdoor niet alleen

kwaadaardige software en digitale breekijzers zeer veel malware in omloop, maar ook veel criminele actoren in
zijn voor iedereen vrij en tegen verwaarloosbare cyberspace.
kosten toegankelijk.
Strategische informatie over criminele dreigingen Cybercapaciteiten van cybercriminelen zijn moeilijk in te schatten.
niet beschikbaar.
Attributie
Anonimiteit & Lokaliteit
Niet weten wie de cybercrimineel is en waar deze zich bevind.
Identiteit en lokaliteit van cybercriminelen is
Opsporingsoperaties zijn daarom problematisch. Pakkans voor
moeilijk te achterhalen.
cybercriminelen is laag.
Veel slachtoffers Cybercrime treft zeer grote aantallen slachtoffers die over de hele wereld
Cybercriminelen richten zich meestal op zijn verspreid.
meerdere doelwitten tegelijk. Gelijktijdig worden
inbraken gepleegd op honderdduizenden,
miljoenen of zelfs miljarden computers. Malware
verspreid zich zeer snel.
Schade Onvolledige en onbetrouwbare informatie over implicaties van

Beoordeling van aangerichte schade is moeilijk: cybercriminaliteit. Betrouwbare schattingen van individuele,
veel slachtoffers merken niet dat zij bestolen organisationele en maatschappelijke kosten van cybercrime zijn lastig.
zijn, of geven het delict niet aan — uit
persoonlijke schaamte of strategische
overweging zoals reputatieverlies.
Snelheid & Variatie Door criminele exploitatie van nog niet bekende kwetsbaarheden (zero-
Cybercriminele operaties voltrekken zich in een day lekken) en talloze variaties op bestaande malware is passieve
zeer kort tijdsbestek. Door vergaande verdediging (het d.m.v. firewalls en virusdetecties tegenhouden van reeds
automatisering van de cyberkraak en veel bekende malware) steeds minder effectief.
variatie in aanvalspatronen (flexibel,
snelontwikkelend)
Gedistribueerd Veel computersystemen en netwerken staan al onder controle van

Computersystemen en netwerken van actuele en cybercriminelen zonder dat de eigenaars en beheerders van die systemen
potentiële slachtoffers worden door en netwerken daar erg in hebben. Zombie-computers van een crimineel
cybercriminelen verkend en gepenetreerd, botnet werken zonder medeweten van hun eigenaars mee aan
geheime en gevoelige informatie wordt gestolen; cybermisdaden (het zijn na�eve medeplichtingen).
zij worden ge�nfecteerd met kwaadaardige
software waarmee de controle wordt
overgenomen.
Veiligheid: kwetsbaarheden van ICT

“ahumahum” [].
Net als in de lokale wereld vindt er in cyberspace een permanente wedloop plaats tussen
criminelen en rechtshandhavers. De cybercriminelen zijn daarbij feitelijk maar ook structureel in
het voordeel. Om criminaliteit op of via het internet te bestrijden moeten we de aanvalsmethoden
van cybercriminelen begrijpen.
Risico’s van ICT: onveiligheid & kwetsbaarheid

Computernetwerken hebben een uniek vermogen om in zeer uiteenlopende omstandigheden te
overleven. Maar dat betekent allerminst dat zij ook daadwerkelijk veilig of onkwetsbaar zijn. Hoe
robuust zijn onze computersystemen bij interne balansverstoringen en hoe kwetsbaar of weerbaar
zijn zij tegenover vijandige aanvallen van buitenaf?
Veiligheid (safety) Robuustheid

De onveiligheid van computersystemen en netwerken Safety & Security
Veiligheid (safety) refereert aan de nooduitgang
komt voort uit interne balansverstoringen als gevolg
van een druk bezochte ruimte die als vluchtweg
van menselijke fouten en falen van technologische dient. Maar diezelfde nooduitgang refereert ook
aan een deur die beveiligd moet worden om
middelen. Computersystemen en netwerken kunnen
ongenode gasten van buitenaf te weren
van binnenuit ontregeld worden door mensen die (security). Dit simpele voorbeeld laat zien dat
veiligheid en beveiliging zeer nauw met elkaar
ongewild en zonder speciale bedoeling fouten maken,
verbonden zijn en vaak naadloos in elkaar
en door technologische systemen die slecht overlopen.
ontworpen of slecht geprogrammeerd zijn. Kleine

lokale balansverstoringen kunnen grootschalige ‘waterval fouten’ tot gevolg hebben die zich
door het hele netwerk verplaatsen. Als de belasting te groot is wordt deze doorgeschoven naar
de volgende buren [Watts 2000; Gladwell 2000].
Beveiliging (security) Weerbaarheid

Computersystemen en netwerken zijn slechts tot op bepaalde hoogte bestand tegen
kwaadaardige aanvallen van buitenaf [Barabási 2002:118]. Beveiliging is een manier van
omgaan met risico’s die voortvloeien uit externe balansverstoringen door kwaadwillende derden
die zich van clandestiene methoden bedienen. Er is dus altijd sprake van kwade opzet
[Talbot/Jakeman 2008; Gulijk 2011].
De schaduwzijde van de informatie- en communicatietechnologie is haar onzekerheid. Die

onzekerheid is zowel intrinsiek (de technologie kan falen) als extrinsiek (zij is niet bestendig tegen
aanvallen van buiten af).
Complexiteit, productie en gebruik

Internet is een robuust netwerk dat van buitenaf niet gemakkelijk uit de digitale lucht of de
virtuele wolken is te blazen. Maar al die computersystemen en netwerken kennen ook een aantal
interne faalpunten waardoor zij onveilig worden: (a) de omvang en complexiteit van de software,
(b) de ongecontroleerde, en dus onveilige wijze van hard- en softwareproductie, en (c) de
slordige, onverantwoordelijke manier waarop mensen met hun computers en netwerken omgaan.
a. Omvang en complexiteit van software

De computerprogramma’s waarmee we werken zijn zeer omvangrijk en uitermate complex. Die
omvang en complexiteit van onze software is de afgelopen decennia dramatisch toegenomen
en deze trend zal zich in de toekomst verder doorzetten. De vraag naar complexe
softwaresystemen is echter veel sneller toegenomen dan het vermogen om ze te ontwerpen, te
implementeren, te testen en te onderhouden [Lyu 2005]. We zijn op gevaarlijke wijze
afhankelijk geworden van grote softwaresystemen waarvan het functioneren niet goed
begrepen wordt en die vaak op onvoorspelbare wijze falen. Complexiteit is de grootste vijand
van beveiliging.
Software is robuust waneer er slechts zelden fouten optreden die slechts kleine
onaangenaamheden met zich meebrengen en geen grotere schade of verliezen veroorzaken.
Maar door de omvang van de huidige computerprogramma’s is robuuste software (safeware)
een zeldzaamheid.
Cyberspace wordt geregeerd door laws of code Open Source Software is niet noodzakelijk
beter of veiliger. Dit type niet-commerciële
(Lawrence Lessig) die door mensen zijn gemaakt en
software, waarvan de ontwikkelingscode
ontworpen zijn om de meest uiteenlopende doelen te openbaar toegankelijk is, wordt door een
veelvoud van programmeurs gezamenlijk
dienen. De besturingssystemen van Windows en
ontwikkeld: “given enough eyeballs, all bugs
Apple bevatten elk meer dan 80 miljoen regels code. are shallow.” Open source software bevat
De Linux Kernel bevat slechts 15,9 miljoen regels, daarom veel minder programmeringsfouten
(metingen laten zien dat het foutenpercentage
maar de Linux Debion 5.0 bevat maar liefst 324 0,02% is). Maar ook deze systemen zijn nog
miljoen regels code. Elke regel bevat een aantal altijd veel te complex en bieden daarom nog
voldoende ingangen voor geraffineerde
instructies of een bepaalde informatie. Alleen al de aanvallers.
omvang van het aantal coderegels biedt vele
mogelijkheden om programmeringsfouten te maken.
Bij commercieel geproduceerde software ligt de foutenmarge tussen de 1,5% en 5%. Met meer
dan 80 miljoen regels betekent dit dat er gemiddeld zo’n 1,2 tot 1,4 miljoen fouten zitten in de
besturingssoftware. Lang niet al deze fouten zijn veiligheidslekken die door hackers kunnen
worden uitgebuit. Maar een geraffineerde aanvaller is desondanks in staat enige tienduizenden
van deze fouten uit te buiten. Er zijn dus zeer veel invalswegen die gesloten moeten worden

om de software echt veilig te maken. Maar dat is allesbehalve eenvoudig.
Een miljoen coderegels

Als je een miljoen regels code afdrukt, levert dat 18.000 pagina’s op (25 Ulyssess). Dat is een stapel van meer
dan 1,80 meter. Een miljoen coderegels bevatten ongeveer 20 miljoen instructies, of 600 miljoen bits. Een
miljoen coderegels vereisen 40.000 pagina’s externe documentatie. In een miljoen coderegels zitten gemiddeld
100.000 fouten (pre-test). Alleen bij de allerbeste bedrijven zitten er na het testen gemiddeld nog 1.000
fouten in de software. Het schrijven van een miljoen coderegels kost tussen de 20 en 40 miljoen dollar
[Ganssle 2008].
Statistisch onderzoek laat zien dat er gemiddeld 2 à 3 fouten worden gemaakt in elke 1.000 regels code. Bij
software waarbij de uitval mensenlevens kan kosten, zoals bij militaire of ziekenhuissystemen, wordt een
foutdichtheid van < 0,5 fouten per 1.000 regels code nagestreefd. Meestal wordt gestreefd naar een
foutdichtheid van < 2, normaal is 2-6 en acceptabel (alleen in de sfeer van het web) is 6-10. Meer dan 10
fouten geldt als wanprestatie en kan voor een rechtbank tot compensatiebetaling leiden.
Voor elke 7-10 regels nieuwe of gewijzigde code wordt 1 fout geïntroduceerd. Zelfs als 99% van die fouten
wordt geëlimineerd voordat de software wordt gelanceerd, resulteert dit in 1 tot 1,5 fouten in elke 1.000 regels
nieuwe en gewijzigde code. Meer dan 90% van de kwetsbaarheid van software wordt veroorzaakt door
programmeringsfouten. De defecten die ontsnappen aan het testen, worden geëxploiteerd door hackers om
cyberaanvallen te lanceren.
Elke ervaren programmeur weet dat softwarefouten onvermijdelijk zijn. Zij zijn een natuurlijk onderdeel van
het evolutionaire proces dat de meeste toepassingen doorlopen [Beckett/Putnam 2010]. De meeste
veiligheidslekken zijn het gevolg van fouten die onbewust geïntroduceerd zijn tijdens het ontwerp en de
ontwikkeling van software. Foutenreductie is een voorwaarde voor veilige software ontwikkeling [Noopur
2005].
De software die gebruikt werd voor de eerste maanlanding in 1969 bevatte ongeveer 7.500 regels code. De
gemiddelde mobiele telefoon bevatte in 2005 al 2 miljoen regel software code. In 2008 was dit al gestegen tot
5 miljoen en voor de Android tot 11 miljoen. Volgens General Motors bevatten haar auto’s nu al zo’n 100
miljoen coderegels.
Ten eerste weten we niet precies wat een veiligheidsrisico is. Er zijn diverse instrumenten
waarmee fouten in de programmeringscode kunnen worden opgespoord (bug-tracker), maar er
zijn nog geen betrouwbare geautomatiseerde procedures om software op fouten te testen.
Slechts een aantal bekende standaardfouten kan automatisch worden opgespoord. Er zullen
altijd achterdeurtjes zijn en een hacker zal altijd een weg naar binnen weten te vinden. Ten
tweede worden er regelmatig nieuwe aanvalsvarianten gevonden waarvan het risico (d.w.z. de
kans op het optreden van een succesvolle aanval en de schade als gevolg daarvan) niet was
voorzien.
Er is nog een derde probleem: de behoefte aan nieuwe applicaties en functionaliteiten in de

markt is wezenlijk groter dan de behoefte aan veiligheid. Er worden meer nieuwe programma’s
ontwikkeld dan er ooit getest kunnen worden. De paradox is: hoewel er meer geïnvesteerd
wordt in IT-beveiliging, daalt de veiligheid elk jaar verder [Gaycken 2012:42]. Er worden elke
dag veel meer onveilige producten, toepassingen, apps en (verbeteringen van)
besturingssystemen op de markt geworpen dan er slechts in aanzet gecontroleerd kunnen

worden. De software industrie wordt nog in sterke mate bepaald door de cultuur van: ‘Deliver
now, fix later’ [Seshagiri 2011].
Veiligheidsrisico‘s en beheersingsproblemen vloeien in belangrijke mate voort uit de

toenemende complexiteit van de software [McGraw 2006]. Bij veel van de huidige
softwaresystemen zijn er zoveel potentiële interacties tussen de componenten dat zij niet goed
meer kunnen worden gepland, begrepen en beheerst. Complexe systemen zijn altijd modulair
opgebouwd omdat er geen andere manier is om de complexiteit te hanteren dan deze op te
splitsen in gemakkelijk te behandelen stukjes. Dit brengt echter ook beveiligingsrisico’s met
zich mee omdat de beveiliging vaak faalt waar twee modules interacteren.
Sommige systemen zijn zo complex dat zij het begrip van bijna alle experts te boven gaan.
Zelfs de weinige experts die ze wel begrijpen, hebben onvolledige informatie over het
potentiële gedrag van de software. Hoe groter de complexiteit van de software hoe moeilijker
het is om deze te actualiseren (upgraden), te onderhouden en verder te ontwikkelen — zonder
dat ze instabiel wordt en zonder verlies van functionaliteit.
Met de huidige programmeringsinstrumenten kunnen meer

geïntegreerde, meervoudige terugkoppelingen in systemen
worden ingebouwd. Software is opgebouwd uit groot aantal
dynamisch met elkaar interacterende componenten. De
hechte koppeling tussen deze componenten leidt gemakkelijk
tot ontregelingen: disfunctionele interacties in een deel van
de software hebben verreikende effecten op andere delen van
het systeem. Kleine lokale balansverstoringen kunnen
grootschalige effecten tot gevolg hebben die zich door het
gehele netwerk verplaatsen. Als de belasting te groot is, wordt deze doorgeschoven naar de
volgende buren.
We bouwen dus systemen die ons vermogen tot intellectuele beheersing te boven gaan. De
toegenomen interactieve complexiteit maakt het voor ontwerpers moeilijk rekening te houden
met alle potentiële systeemtoestanden. Voor beheerders wordt het steeds lastiger om alle
abnormale situaties en verstoringen veilig en effectief te behandelen [Leveson 2004].
Een hacker hoeft in zo’n complex programma slechts één losse draad te vinden om de
veiligheid van het hele systeem te compromitteren. In de vele miljoenen coderegels hoeft er
maar één teken gewijzigd te worden om de betekenis van een hele coderegel te veranderen,
waardoor er op een andere plaats een deur wordt geopend die juist tot elke prijs gesloten zou
moeten blijven [Gaycken 2012:48].

We werken met een technologie waarvan we tot in de kleinste uithoeken van de samenleving
afhankelijk zijn, maar die fundamenteel onzeker en onbeheersbaar is. Naast dit louter
technische probleem zijn er nog twee andere bronnen van onveiligheid: de productie en het
gebruik van ICT.
b. De productie van ICT

Er zijn nog te weinig krachtige impulsen om de producenten van hard- en software te dwingen
om betrouwbare en veilige producten op de markt te zetten. Door de toenemende globalisering
en de kapitalisering van belanghebbenden hopen de kwetsbaarheden van onze ICT zich steeds
verder op.
De productie van hard- en software verloopt anders dan in een gewone wapenindustrie. De
mensen die in de ontwikkelingsplatforms werken, worden niet gescreend. Een programmeur
werkt nu eens hier dan weer daar, zonder dat iemand weet of deze programmeur heimelijk
voor een concurrent, een geheime dienst of misdaadsyndicaat werkt. Ook de gebouwen waarin
de software wordt ontwikkeld zijn meestal slecht beveiligd. Voor slimme aanvallers is het
tamelijk eenvoudig om in de softwareproductie in te breken. Ze kunnen op elke plaats iemand
binnensluizen die de meest uiteenlopende clandestiene acties kan uitvoeren. Een infiltrant kan
veiligheidsgaten inbouwen waardoor men een directe en exclusieve toegang krijgt tot de
werking van de software. Voor nationale staten is dat buitengewoon aantrekkelijk: spionage en
manipulatie worden kinderspel. De kosten van een infiltrant zijn gering: 50 tot 100.000 dollar.
Dat is een koopje als je voor deze som een achterdeur in een besturingssysteem dat over de
hele wereld verspreid wordt kunt inbouwen.
Software maken
Een intelligente techniek van cyberterroristen is het zelf maken van software. Een
opmerkelijk voorbeeld daarvan deed zich voor in Japan. In
maart 2000 meldde het Japanse Metropolitan Police
Department dat zij een software systeem had laten bouwen
om de 150 politiewagens, inclusief politieauto’s zonder
herkenningstekens, te traceren. Later bleek dat het
programma was ontwikkeld door de Aum Shinryko sekte,
Bij de productie van software
dezelfde groep die in 1995 zenuwgas in de metro van Tokyo kunnen Trojaanse paarden worden
geïnstalleerd die op een later
liet ontsnappen, waardoor 12 mensen werden gedood en tijdstip geactiveerd worden om
cyberaanvallen te lanceren of te
6.000 mensen gewond raakten. Toen het Trojaanse paard vergemakkelijken.
ontdekt werd, had de sekte al de geclassificeerde gegevens over 115 voertuigen ontvangen.
Bovendien had de sekte software ontwikkeld voor minstens 80 Japanse bedrijven en 10
overheidsinstellingen. Mantelorganisaties van de Aum sekte hadden als onderaannemers

voor andere bedrijven gewerkt, waardoor het bijna onmogelijk werd om te achterhalen wie
de software eigenlijk ontwikkelde.
Knoeien met hardware

Een andere kopzorg is de productie van microchips. De meeste
commerciële chips worden in het buitenland gefabriceerd en er
is al herhaaldelijk geconstateerd dat er met sommige van die
chips is geknoeid. Het Amerikaanse ministerie van Defensie is
ervan overtuigd dat dit het werk is van buitenlandse
inlichtingendiensten. Daarom worden de microchips voor
nucleaire wapens en andere geavanceerd wapentuig
vervaardigd door eigen technici van Sandia National Laboratories. DARPA (de
onderzoeksafdeling van het Pentagon) spendeert alleen al in 2011 minstens 20 miljoen
dollar aan het identificeren van onbetrouwbare chips.
In een rapport van militaire commissie van de Amerikaanse Senaat, Inquiry into counterfeit
electronic parts in the Department of Defense supply chain [21.5.2012], werd onthuld dat
grote aantallen vervalste elektronische onderdelen hun weg hebben weten te vinden naar
kritische defensiesystemen. Deze vervalste elektronische onderdelen waren overwegend
(70%) van Chinese makelij.
Het internet en de toenemende complexiteit van elektronische circuits hebben het veel
eenvoudiger gemaakt om «kill switches» en achterdeurtjes in te bouwen waarmee
apparaten waarin kunnen worden ontregeld of uitschakeld. Een chip kan twee miljard
transistors (elektronische schakelingen) bevatten. Dit biedt voldoende ruimte om een paar
schakelingen in te bouwen die clandestien opereren. Chips kunnen zo worden ontworpen dat
zij op een bepaalde datum zichzelf vernietigen. Een component die er onschuldig uit ziet of
zelfs een heel klein beetje soldeer kan een verborgen antenne zijn. Wanneer een chip een
radiosignaal ontvangt van een mobieltje, een vliegtuig of een satelliet kan het apparaat
zichzelf opblazen, uitschakelen of anders gaan werken.
De «kill switches» en achterdeurtjes werken net als landmijnen. Ze worden door heimelijk
verborgen in elektronische apparatuur totdat zij in een confrontatie worden geactiveerd.
Deze landmijnen zijn bijzonder destructief omdat zij worden ingebouwd in geavanceerde
wapensystemen en in de vitale infrastructuur van een land.
Een simpel maar effectief voorbeeld stamt uit de Eerste Golfoorlog in 1991. Het leger van
Irak gebruikte in Noord-Amerika gefabriceerde kleurenkopieermachines om haar
strijdplannen uit te werken. Dat hadden zij beter niet kunnen doen. In het elektronisch

circuit van deze kopieermachines waren zenders verborgen die hun locatie verraadden.
Hierdoor waren Amerikaanse gevechtsvliegtuigen in staat om meer precieze
bombardementen en raketaanvallen lanceren. ‘Turning assets into liabilities’, wordt dat
genoemd — maak van een lust een last [The Economist, 7.4.11].
Computers verkopen
De supergeheime Israëlische Eenheid 8200 is gespecialiseerd op cyberoorlog. Er werken
tienduizenden militairen die allerlei transmissies en elektronische signalen van naburige
vijandige staten verwerken. Isra�lische spionnen rekruteerden in Iran zakenlieden die
elektronische apparatuur en computers importeerden en verkochten aan het Iraanse leger
en het Iraanse atoomproject. De computers werden aangeleverd door de Mossad en waren
ge�nfecteerd met Trojaanse paarden en virussen. Zodra ze geïnstalleerd werden in de
militaire of nucleaire installaties begonnen ze informatie terug te sturen naar Israë [Ronen
Bergman in EenVandaag,19.11.10].
c. Gebruik van computersysteem

Door de toegenomen complexiteit van onze computersystemen neemt ook de kans toe dat de
mensen die daarmee werken fouten maken. Menselijk gedrag wordt beïnvloed door de context
waarin het plaatsvindt en beheerders van hightech systemen zijn overgeleverd aan het ontwerp
van de hard- en software waarmee zij werken. Uit onderzoek blijkt dat veel fouten die aan
systeembeheerders worden toegeschreven het gevolg zijn van gebrekkige systemen en
ondeugdelijk ontwerp van de interfaces. Mensen zijn vaak niet meer in staat om de risico’s die
aan hun werk verbonden zijn te controleren. Veel fouten en ongelukken vloeien voort uit
inadequate communicatie tussen mensen en machines [Leveson 2004].
Er zijn diverse mogelijkheden om computersystemen te manipuleren. Vaak is het al voldoende

om een USB-stick een keer kort in een computer te stoppen. De malware nestelt zich in de
computer en besmet vervolgens het hele netwerk. De
geïnfecteerde computers kunnen in een botnet worden
geplaatst: een netwerk van duizenden of zelfs miljoenen
computers die door een cybercrimineel worden
gecontroleerd en die zeer uiteenlopende kwaadaardige
praktijken kan faciliteren: het versturen van spam, het
faciliteren van phishing-aanvallen en online fraude, het
initiëren van denial-of-service-aanvallen en het
anonimiseren van de crimineel. Door het installeren van keyloggers kunnen alle wachtwoorden
en creditcardnummers worden achterhaald die op een computer worden ingevoerd.

De veiligheidsrisico’s van de software waarmee gewerkt wordt zijn dus enorm. Die risico’s zijn
al ingebakken in het ontwerp en de programmering van de software technologie, en ze nemen
alleen maar toe bij de productie en het gebruik van ICT. Hoe grotere en complexer een systeem
is, des te eenvoudiger is het voor een cybercrimineel om een zwakte te identificeren en uit te
buiten.
Niet alleen het niveau van complexiteit in IT-omgevingen Gevaarlijke accessoires

Vaak wordt vergeten dat niet alleen USB-
van bedrijven en instellingen maakt het voor vaardige
sticks in staat zijn om malware te verspreiden,
hackers makkelijk om onbekende of niet-gerepareerde maar elk apparaat dat in een USB-poort wordt
geplugged: lichten, ventilators, speakers,
kwetsbaarheden te vinden. Ook het feit dat steeds meer
speelgoed en zelfs een digitale microscoop. Al
werknemers eigen apparaten (zoals smartphones, deze apparaten kunnen tijdens de productie of
tablets, laptops, USB-sticks) in de organisaties brengen de distributie worden ge�nfecteerd [CNet,

21.11.08].
en gebruik maken van sociale media schept nieuw
invalswegen voor kwaadaardige aanvallen van buitenaf.
Een andere grote zwakte is het netwerkontwerp. Veel netwerken zijn te plat. In platte
netwerken kan vanuit elk station van het netwerk alle andere stations worden bereikt zonder
tussenkomst van bewaakte bruggen of interne brandgangen. Sterk geseggregeerde netwerken zijn
minder flexibel en het beheer is minder kostbaar. Maar in platte netwerken kunnen
cybercriminelen makkelijk rondsnuffelen op zoek naar systemen waarin waardevolle,
vertrouwelijke of geheime informatie is opgeslagen.
SNMP-lek: komt u maar binnen

Soms wordt het voor hackers van computersystemen wel SNMP is een hulpmiddel om netwerken mee te
beheren. Je kunt er op afstand de status van
erg gemakkelijk gemaakt. Een voorbeeld daarvan is het
een apparaat, inclusief foutmeldingen en
lek in het netwerkprotocol dat gebruikt wordt om instellingen mee aflezen en wijzigen. Het
SNMP protocol is gebaseerd op het Internet
internetsystemen te bewaken en te configureren. In
Protocol (IP).
november 2012 werd ontdekt dat dit Simple Netwerk
Management Protocol (SNMP) zodanig is geconfigureerd dat het kinderspel is om alle computers
die daarvan gebruik maken af te tappen, de controle over te nemen of stil te leggen [Volkskrant,
1.11.12].
Gemakzuchtige van fabrikanten —waaronder CISCO—verkopen routers en modems waarop het

SNMP-systeem standaard staat ingeschakeld. De meeste gebruikers hebben dat protocol niet
nodig, maar schakelen het niet uit. Degenen die daar wel gebruik van maken, zouden het protocol
moeten configureren om het te beveiligen, maar doen dat meestal niet. Daarom is het voor
hackers zeer eenvoudig om in deze systemen in te breken.
Het beveiligingsbedrijf ITSX ontdekte het lek en scande ruim de helft van de 48 miljoen IP-

adressen in Nederland. Bij 13.656 adressen waren alle instellingen en wachtwoorden uit te lezen.
Bij 2.294 adressen konden de systemen volledig worden overgenomen of gecyboteerd. Daartoe
behoorden ook enkele banken, supermarktketens, grote internetproviders en
overheidsinstellingen.
Het rapport van het ITSX laat zien dat het slecht gesteld is met de beveiliging van
infrastructuurcomponenten in Nederland.
“Hoewel SNMP veelal op interne netwerken wordt gebruikt, blijkt uit ons onderzoek dat in Nederland ook
tienduizenden systemen publieke SNMP toegang aanbieden via internet waardoor hun configuratie kan worden
uitgelezen. Van enkele duizenden systemen kan de configuratie door iedereen over internet zelfs worden
gewijzigd, en daarmee kan een aanvaller de controle over deze componenten overnemen.
Onder deze systemen bevinden zich gevoelige componenten als routers, firewalls en servers, voornamelijk van
midden- en kleinbedrijf maar ook van enkele grote bedrijven en overheidsgerelateerde organisaties. In het
scenario dat deze componenten door een kwaadaardige aanvaller tegelijk en op afstand worden uitgeschakeld of
overgenomen, kan dit leiden tot significante schade, zowel voor de individuele organisatie als wellicht ook de
maatschappij.
Daarnaast kan toegang tot deze componenten worden misbruikt voor complexere aanvallen zoals het afluisteren
van internetverkeer. Het verkrijgen van ongeautoriseerde toegang tot SNMP (via het internet) vormt hiermee
een reële bedreiging voor bedrijven en organisaties in Nederland” [ITSX, 1.11.2012].
De problemen met SNMP zijn al meer dan twintig jaar Oude kwaal
In 2000 werd SNMP al opgenomen in de Top 19
bekend. maar voor de fabrikanten van die technologie
beveiligingsproblemen [Sans 2000]. Ook
was dit tot nu toe geen aanleiding om maatregelen te daarna wordt regelmatig voor SNMP-lekken
gewaarschuwd. In 2008 scanden Amerikaanse
nemen. Providers en systeembeheerders die gebruik
onderzoekers 2,5 miljoen willekeurige IP-
maken van professionele producten laten het SNMP- adressen op problemen en vonden 5.000
protocol uit gemakzucht of onkunde ongewijzigd kwetsbare apparaten [Guchitzen, 3.3.2008].
aanstaan zonder dat zij zich bewust zijn van de risico’s die daaraan verbonden zijn. Particuliere
consumenten schaffen onveilig geconfigureerde apparaten aan of krijgen deze geleverd door hun
providers.
IP-scan is geen misdaad

Niemand vind het prettig als iemand aan de voordeur morrelt om te kijken of deze te openen is. Een IP-scan is
niets anders dan het digitaal snuffelen aan de deur van een computersysteem. Er wordt niet binnengedrongen en
er wordt niets gestolen, ontregeld of vernietigd. In juridische zin een IP-scan geen inbraak, ook al kan de daarmee
vergaarde informatie dienen als opstap voor een daadwerkelijke cyberinbraak. Het is geen argument om een ip-
scan als inbreken te kwalificeren — zoals Lodewijk van Zwieten (Officier van Justitie voor cybercrime) meent
[Webwereld, 1.11.2012]. De informatie die met een IP-scan wordt verworven, kan immers ook worden gebruikt
om op veiligheidslekken te attenderen en om voorstellen te doen voor reparatie.
De discussie over de IP-scan wijst erop dat er nog steeds geen duidelijke criteria zijn om te beslissen wat een
‘cyberdelict’ is en wat niet. Tot 1998 rekende het Amerikaanse Ministerie van Defensie elke poging om een telnet-
verbinding (vergelijkbaar met kloppen op een gesloten deur) te leggen als een elektronische aanval [Niall McKay,
in: Wired, 10.16.98.
De kracht van kwaadaardige software

“Malware is one of the most terrible and major security threats facing the Internet today”
[Gantotra/Bansal/Sofat 2014]
De beveiliging van computersystemen lijkt sterk op de bescherming van de bevolking tegen

besmettelijke en dodelijke virussen. Het immuunsysteem van levende organismen vertoont veel
eigenschappen van op internet aangesloten computersystemen. Om te overleven moeten zij in
staat zijn om een onderscheid te maken fysieke of digitale codes die goed en die gevaarlijk zijn.
De pest is uitgebroken
Technisch gezien hebben cybercriminelen dus goede kansen om een systeem te breken, of nog
erger: om in een systeem in te breken en met eigen bevelen te sturen zonder dat de eigenaar van
dat systeem het door heeft. Het is vaak al voldoende om slechts een paar coderegels te wijzigen.
Maar zelfs als daar een paar honderd coderegels voor nodig zijn, is dat altijd nog erg weinig — en
die paar extra regels kunnen makkelijk worden verborgen. Op het niveau van de productie is er
maar één infiltrant nodig om achterdeurtjes in de software in te bouwen of dst al in de hardware
te arrangeren. Op niveau van gebruik is slechts één kort contact met usb-stick nodig om een heel
netwerk te infiltreren. Met een goed voorbereidde operatie is het bijna altijd mogelijk om een
organisatielid te verleiden om op een verkeerde link te klikken.
Er bestaat dus een extreem grote asymmetrie tussen verdediging en aanval: de aanval is
verschrikkelijk makkelijk, de verdediging zo goed als onmogelijk. De grootste bedreiging is dat er
zoveel bedreigingen zijn. Het lijkt wel of de pest is uitgebroken in cyberica. Bijna elk jaar
verdubbelt het aantal virussen. In de databank van McAfee waren in 2012 al 100 miljoen unieke
exemplaren malware opgeslagen [McAfee 2012]. Eind 2013 waren het er al 200 miljoen en in het
tweede kwartaal van 2015 al meer dan 250 miljoen. De helft daarvan behoorde tot de dierentuin
van de mobiele malware [McAfee, 2013; McAfee, 2014].
Explosieve toename van virussen

De ontwikkeling van het aantal virussen vertoont een exponentiële groei.
Jaar Aantal Virussen
1984 12
1990 9.000
2002 1 miljoen
2007 9 miljoen
2012 100 miljoen
2013 200 miljoen
Medio 2014 250 miljoen
Het AV-Test Institute registreert dagelijks meer dan 200.000 nieuwe malware programma’s — meer dan 5 miljoen
per maand.
Er is imiddels meer malware dan legitieme software op de legale en illegale markten.

Malware varianten
Malware is kwaadaardige/schadelijke software of zo men wil schoftware. Malware is geen slechte
software die schade berokkent omdat er fouten (bugs) in zitten of omdat ze slecht ontworpen is.
Malware is software die opzettelijk schade veroorzaakt.
Er zijn zes basistypen van malware: virussen, wormen, Trojaanse paarden, ransomware, rootkits
en botnets.
Virussen
Een computervirus is een zichzelf replicerende programmacode
die zonder toestemming van de gebruiker ge�nstalleerd wordt
in bestaande programma’s. Virussen hechten zichzelf aan
legitieme programma’s, net zoals een parasiet zichzelf hecht aan
een gastorganisme. Zij veroorzaken directe schade aan de
geïnfecteerde computer, vooral wanneer zij zich nestelen in
besturingssysteem. De meeste virussen zijn niet giftig genoeg
om zich zelfstandig te verspreiden.
Bijna alle virussen zijn gehecht aan een uitvoerbaar bestand; de computer wordt pas besmet
als dat ge�nfecteerde bestand wordt geopend. Er zijn ook virussen die zichzelf automatisch
installeren nadat iemand een geïnfecteerde website heeft bezocht.
Tegenwoordig zijn virussen tamelijk zeldzaam omdat cybercriminelen proberen meer controle
te hebben over de verspreiding van hun malware. Bovendien worden nieuwe exemplaren snel
opgenomen in anti-virusprogramma’s.
Malware programma’s lijken in

eerste instantie gewone
software, maar ontwikkelen
andere functies zodra ze op de
plek komen waar ze moeten
zijn. Ze lijken steeds meer op de
Transformers uit de bekende
science fiction film. Ze
beschikken over een heel
arsenaal aan wapens en een
uitgebreid repertoire
spionagetechnieken. Er zijn
wormen die zichzelf in
verschillende stukken breken om
zo door de beveiliging heen te
komen en die zichzelf aan de
andere kant automatisch weer in
elkaar zetten — net zoals de
smeltende robot T-1000 in de
Terminator.
Metamorfische virussen zijn

virussen die telkens een andere
vorm aannemen bij elke nieuwe infectie [Aycock 2010].

Wormen
Wormen zijn zelfstandige programma’s die zichzelf van computer naar computer over een
netwerk verspreiden. Zonder tussenkomst van een gebruiker worden kopieën van de worm via
een netwerk doorgestuurd. Wormen zijn dus zichzelf vermenigvuldigende
computerprogramma’s die geen andere programma’s nodig hebben om zich aan vast te
hechten. Als een worm pas schade aanricht op een vooraf bepaald tijdstip (net als bij een
tijdbom) of op het moment dat de software een bepaalde verandering waarneemt, spreken we
van een logische bom. Het prototype daarvoor is de codebom van Timothy Lloyd.
Verspreiding van wormen

De meeste wormen verspreiden zich via een �drive-by download�. Daarbij wordt een populaire, maar slecht
beveiligde website voorzien van kwaadaardige software, die argeloze bezoekers dan (vaak automatisch)
downloaden zonder het door te hebben.
Wormen kunnen zich volautomatisch verspreiden door een e-mail te genereren met een kopie van zichzelf als
bijlage middels het mailprogramma van de besmette gebruiker. De ontvanger denkt dan een legitieme e-mail
te krijgen omdat de afzender van de mail een bekend persoon is. Hij zal dan snel geneigd zijn de bijlage te
openen, zodat zijn eigen computer ook ge�nfecteerd wordt.
Wormen kunnen meer specifiek worden getypeerd door het soort netwerk dat zij gebruiken om
zichzelf te verspreiden:
Net-Worm: via een lokaal netwerk of het internet

Email-Worm: via emails, of verpakt in de e-mail zelf of als bijlage.
P2P-Worm: in bestanden verstuurd via peer-to-peer (P2P) netwerken
IM-Worm: via instant messaging (IM) netwerken
IRC-Worm: via Internet Relay Chat (IRC) kanalen
Bluetooth-Worm: via Bluetooth broadcasting
Trojaanse paarden
Trojaanse paarden repliceren zichzelf niet en veroorzaken ook niet direct schade aan de
geïnfecteerde computer. Een Trojaans paard is een functie die verborgen zit een programma
dat door de gebruiker zelf wordt geïnstalleerd of in een bestand dat door de gebruiker zelf op
de lokale schijf van de computer wordt geplaatst. Als het legitieme bestand of programma door
de gebruikers wordt gestart, zal ook het kwaadaardige programma worden gestart. De
gebruiker zelf merkt hier helemaal niets van.
Via deze functie krijgt een aanvaller toegang tot en controle over de geïnfecteerde computer.
Een Trojaans paard opent dus een achterdeur op de computer en biedt daardoor op afstand
stiekem toegang voor een aanvaller (Backdoor Trojan). Via Trojaanse paarden wordt de
vertrouwelijkheid, integriteit of beschikbaarheid van de computer gecompromitteerd, of worden

de bronnen van het apparaat gebruikt voor criminele doeleinden. Gecompromitteerde

apparaten worden meestal misbruikt voor het versturen van spam of voor het uitvoeren van
denial-of-service aanvallen op specifieke websites, datanetwerken of mobiele telefoonnetten.
Een Trojaans Paard moet door de gebruiker zelf worden gekopieerd, maar ze kopiëren zichzelf
niet naar andere computers.
Het Paard van Troje

Het paard van Troje is een van de bekendste verhalen uit de Griekse mythologie. Het is een episode in het
verhaal van de Trojaanse Ooolog. De Grieken slaagden er maar niet in om de stad Troje in te nemen. De
immens hoge muur had de stad al jaren beschermd tegen de vijanden van buitenaf. Na tien jaar oorlog en
talloze veldslagen bedacht Odysseus, koning van Ithaka, de ultieme list: de stad moest niet van buitenaf
worden aangevallen, maar van binnenuit.
De Trojanen waren ervan overtuigd dat de muur rondom de stad hen onoverwinnelijk maakte. Op zekere dag
werden zij verrast met een ontzaglijk groot houten paard dat triomfantelijk voor de muren van de stad stond.
De Trojanen dachten dat ze gezegend waren door de goden en haalden het paard de stad binnen,
nietsvermoedend over de ware inhoud van dit gigantische houtwerk.
De Grieken, waaronder de held van deze oorlog Achilles, hielden zich muisstil en wachtten tot diep in de nacht
om het houten paard te verlaten om de stad binnen haar eigen muren aan te vallen. Met deze veldslag wonnen
de Grieken na tien jaar alsnog de oorlog.
Het Paard van Troje werd een metafoor voor het binnenhalen van een gewenste zaak waarin ongewenste
lading is verborgen. Wie zo’n geschenk accepteert bewerkstelligt argeloos zijn eigen ondergang. Een bekend
voorbeeld uit de Nederlandse geschiedenis is het Turfschip van Breda.
Trojaanse paarden kunnen meer specifiek worden getypeerd door het soort acties die zij
heimelijk uitvoeren:
Trojan-Spy
Installeert spionageprogramma’s zoals keyloggers.
Trojan-PWS
Steelt wachtwoorden en andere gevoelige informatie
Trojan-Downloader
Download programma’s van een andere server, installeert ze en lanceert ze
Trojan-Dropper
Draagt ten minste ��n kwaadaardig programma dat het op de ge�nfecteerde computer
installeert en lanceert
Trojan-Proxy
Stelt cybercriminelen in staat om op afstand de ge�nfecteerde computer in een proxyserver
te veranderen om anoniem te opereren; de cybercrimineel anoniem allerlei illegale
activiteiten ondernemen of gebruiken om kwaadaardige aanvallen tegen andere netwerken
te ondernemen.
Trojan-Dialer

Dialers zijn programma’s die je computer gebruikt om telefoongesprekken te voeren; klik op

de contactnaam en je computer draait automatisch het nummer. Een Trojan-Dialer maakt
hiervan misbruik door je computer telefoontjes te laten plegen naar van te voren
ingeprogrammeerde peperdure pay-per minute telefoonnummers (vaak pornosites).
Slachtoffers worden later met een torenhoge rekening geconfronteerd.
Ransomware
Ransomware is een type kwaadaardige software dat door cybercriminelen gebruikt wordt en
dat ontworpen is om geld van hun slachtoffers af te persen, door het encrypteren van
gegevens op de harde schijf, of door het blokkeren van toegang tot het systeem. Ransomware
wordt meestal verspreid doordat gebruikers achteloos een lokmail openen of een kwaadaardige
website bezoeken die door de cybercriminelen is opgezet.
Als het programma eenmaal is ge�nstalleerd begint het de harde schijf van de computer van
het slachtoffer te encrypteren of de toegang tot het systeem te blokkeren. Er verschijnt een
pop-up bericht waarin losgeld wordt gevraagd om de bestanden de decrypteren of het systeem
te herstellen.
Cybercriminelen gijzelen je computer om je geld af te Scareware — een zachte vorm van dwang
Bij scareware wordt een zachte vorm van
persen in ruil waarvoor je weer toegang krijgt tot de
dwang toegepast om geld van het slachtoffer
eigen computer (dat wordt beloofd, maar nooit af te troggelen. Je ontvangt een alarmerend
bericht waarin beweerd wordt dat jouw
gedaan). De slachtoffers worden bang gemaakt om
computer besmet is met een zeer gevaarlijk
hen te dwingen het losgeld te betalen. Op het virus. Om deze ellende van je computer te
verwijderen wordt je aangemoedigd om direct
blokkeerscherm wordt bijvoorbeeld gezegd dat de
(nep)antivirusbescherming te kopen.
toegang tot je computer geblokkeerd is omdat er
illegale software op is aangetroffen en dat je daarvoor alsnog onmiddellijk moet betalen.
In de bijzondere variant van policeware lijkt het bericht afkomstig te zijn van politiediensten of
justiti�le instellingen en wordt gezegd dat er kinderporno of ander illegaal materiaal op jouw
computer is aangetroffen waarvoor je een boete moet betalen [voorbeeld]. Om de ‘echtheid’
van deze mededeling te vergroten wordt daarbij in het blokkadescherm soms een foto van het
slachtoffer getoond die gemaakt is met de eigen webcam.
Rootkit
Een rootkit is een type malware dat specifiek ontworpen is om zijn aanwezigheid en acties te
verbergen voor zowel de gebruiker als voor beveiligingssoftware die op hun systeem is
ge�nstalleerd. Een rootkit nestelt zich diep in het besturingssysteem, soms zelfs al voordat het
besturingssysteem opstart (deze laatste variant wordt bootkit genoemd).

Middels een rootkit is het mogelijk om lopende processen, systeemdata of bestanden te lezen,
wijzigen of be�nvloeden. Cybercriminelen verwerven hierdoor een continue geprivilegieerde
toegang tot de gekaapte computer (Administrator access). Een rootkit voorziet de
cybercrimineel via een achterdeur van volledige toegang. Hij kan documenten stelen of
vervalsen, toetsaanslagen registeren, andere software installeren en lanceren, de microfoon of
camera aanzetten enz.
Omdat de rootkit zo diep in het besturingssysteem verankerd is, laat het zich bijna niet
verwijderen zonder de functie van het besturingssysteem te beschadigen.
Botnet
Een botnet is een netwerk van ge�nfecteerde computers die op afstand door een
cybercrimineel worden gecontroleerd. Het is een serie aan elkaar gekoppelde computers die
door een worm of Trojaans paard geïnfecteerd zijn met een kwaadaardige code. Hierdoor gaan
deze computers zich gedragen als een zombie of slaaf die wacht op commando’s van de
botnetbeheerder (bot herder) die moeten worden uitgevoerd. Daarom wordt een botnet ook
wel een zombienetwerk genoemd.
Een crimineel botnet is ontworpen om een gastcomputer (host) te infecteren en terug te

koppelen naar een centrale server die fungeert als een (command & control centrale voor een
netwerk van gecompromitteerde apparaten. De gekaapte computers kunnen op afstand worden
bediend om criminele operaties uit te voeren, zoals het versturen van spam, het stelen van
bedrijfs- of staatsgeheimen, het verzamelen van creditcardgegevens en wachtwoorden, het
uitvoeren van verstikkingsaanvallen (DDoS) en het verspreiden van malware.
Tapijtbommen in cyberspace
Botnets kunnen als aanvalsmiddel worden ingezet, maar ook als een instrument voor een tegenaanval en van
vergelding. Sommige rechthandhavers bepleiten dat zij de ruimte krijgen om zelf een botnet van machines op
te bouwen die zulke grote hoeveelheden verkeer naar doelcomputers sturen dat zij niet meer gebruikt kunnen
worden om criminele operaties uit te voeren. Door het gooien van tapijtbommen in cyberspace zouden
criminelen worden afgeschrikt.
[Uitwerken - zie voorstellen van Opstelten-->Politieel hackrecht]

Merk op dat er wat juridische en politieke problemen verbonden zijn aan het gebruik van dergelijke
tapijtbommen.
Nederland speelt een belangrijke rol in het verspreiden van malware en aansturen van besmette
computers die onderdeel zijn van een botnet. Van alle malware die er gemaakt wordt, komt 17%
uit Nederland. In 2011 was dit nog maar 11%. Nederland staat op de derde plek in de Top 10 van
landen die malware verspreiden (na de Verenigde Staten en Rusland) en op plaats vijf in de Top
10 van landen met Command & Control-servers [Websense, 2013] en op plaats 3 in de Top 3
bottnetlanden [McAfeee, 23.1.13]. In 2011 werd geschat dat tussen de 450.000 en 900.000

Nederlandse computers onderdeel van een botnet zijn. Dit betekent dat 5% tot 10% van alle
Nederlandse breedbandabonnees besmet is. Volgens de onderzoekers van de TU Delft is het
werkelijke aantal besmette machines waarschijnlijk veel groter dan hun schatting laat zien.
Nederland staat —in 2013— op de tiende plaats van landen die voor de meeste cybercrime
verantwoordelijk zijn. Met bijna evenveel cybercrime hubs als in Duitsland, Frankrijk en Italië
samen [Global Security Map].
DDoS-aanvallen: klassiek en geavanceerd
Van belletje trekken naar grootschalige blokkade-acties

Een Denial-of-Service aanval is een digitale vorm van belletje trekken waardoor een
computersysteem niet meer in staat is om te functioneren. Het computersysteem wordt door
hackers overladen met aanvragen die niet verwerkt kunnen worden waardoor het systeem
onbeschikbaar wordt voor reguliere gebruikers.
Soms is hierbij helemaal geen kwaadwil in het geding. Een klassiek voorbeeld hiervan uit pre-internet tijdperk is
het Henny Huisman-effect. In 1988 organiseerde de SoundMixShow een televoting-actie die het hele PTT-
netwerk platlegde. Een recenter voorbeeld is het Slashdot-effect dat optreed als er op door Slashdot een link
naar een kleinere website wordt gepubliceerd die opeens door alle bezoekers wordt gevolgd.
Een Denial-of-Service aanval (DoS) maakt een website, internetdienst of server onbruikbaar voor
reguliere gebruikers. Het verschil tussen een gewone DoS-aanval en een Distributed DoS-aanval
(DDoS) is dat bij de laatste de aanval wordt uitgevoerd door meerdere computers tegelijkertijd.
Dat kunnen computers zijn van meerdere personen die hun acties onderling coördineren (zoals
cyberactivisten vaak doen), maar heel vaak wordt hiervoor gebruik gemaakt van een botnet van
gekaapte computers.
Het is uitermate lastig om een DDoS-aanval te voorkomen (een preventieve aanpak zou de inzet
van een enorme overcapaciteit vereisten). Systeembeheerders kunnen eigenlijk alleen maar
defensief reageren door het verkeer te beperken op het moment dat servers worden overbelast
[Computerworld, 10.4.13]. Een botnet kan alleen maar onschadelijk worden gemaakt als men
toegang weet te krijgen tot de command & control servers die het botnet aansturen.
Dit laatste gebeurde in 2010 met het Brederolab-botnet dat meer dan een jaar lang dagelijks 3,6 miljard e-mails
verstuurde (overwegend virale spam) vanuit minstens 30 miljoen geïnfecteerde computers. Elke maand werden
er 3 miljoen nieuwe computers aan de botnet toegevoegd. De Nationale Recherche wist deze botnet offline te
halen door 143 C&C-servers af te sluiten. Dit was echter alleen maar mogelijk omdat deze servers waren
ondergebracht bij een hosting provider in Nederland [OM. 25.10.10]. Aanvalsservers die in het buitenland
gelokaliseerd zijn kunnen meestal veel minder eenvoudig buiten werking worden gesteld zonder hulp van de
staat waar de dader zich bevindt of waarvanuit de cyberaanval is gelanceerd. In dergelijke gevallen zal middels
een rechtshulpverzoek aan die staat gevraagd moeten worden om bepaalde opsporingshandelingen te verrichten
of strafvervolging in te stellen.

Op dit moment is het volume van het verkeer dat in DDoS-aanvallen wordt gebruikt ongeveer 400 gigabits per
seconde. Maar dit volume neemt snel toe. Experts verwachten een toename tot 4 terrabits (1Tb = 1012 bits =
1000 Gb). De huidige beveiligingsoplossingen kunnen dit niet aan [Europol 2014: 86].
Telefoonboek van het internet

Om het effect van een DDoS-aanval te versterken richten cyberaanvallers hun pijlen steeds meer
op het Domain Name System. Het Domain Name System is het systeem dat op het internet wordt
gebruikt om namen van computers naar numerieke adressen (IP-adressen) te vertalen en
omgekeerd. Het DNS zet het webadres dat je intypt in je browser (zoals www.uva.nl) om in wat
daadwerkelijk door het internet gebruikt wordt: IP-adressen (zoals 145.18.10.172). Een IP adres
is een adres waarmee een netwerkkaart (NIC = Network Interface Card of Controller) van een
gastheer (host) op het internet eenduidig geadresseerd kan worden binnen het TCP/IP-protocol.
Elke op het internet of netwerk aangesloten computer heeft een IP-nummer waarmee deze
zichtbaar is voor alle andere computers op het internet. Ze zijn te vergelijken met
telefoonnummers.
DNS is dus het telefoonboek voor het internet. Als iemand in staat zou zijn om de toegang tot het
telefoonboek te blokkeren, dan zou het internet daadwerkelijk niet meer kunnen functioneren.
Het Domain Name System heeft een boomstructuur. Het begint met 13 servers op het topniveau
en elk daarvan communiceert met het volgende lagere niveau, die het dan doorgeeft aan een nog
lager niveau, enzovoort. Wanneer er op het topniveau iets wordt veranderd, wordt dit automatisch
doorgegeven aan het hele netwerk. Daarom brengt de lokale kopie van het telefoonboek je altijd
precies naar de juiste plaats.
Het hele internet kan worden platgelegd als iemand het functioneren van alle dertien DNS-
topniveau servers zou kunnen verhinderen. Als deze servers niet meer kunnen communiceren met
de lagere echalons van het systeem, dan kunnen ook de lagere takken van de boom niet meer
functioneren.
De 13 topniveau servers van het DNS zijn gevestigd in verschillende landen, maken gebruik van
verschillende technologieën en zijn zwaar beveiligd. De zwakte van het DNS is tweeledig. Ten
eerste genereert een DNS-verzoek meer informatie dan het verzoek zelf. Ten tweede is het relatief
eenvoudig om het adres waarvanuit het verzoek wordt verstuurd te falsifiëren.
Hackers kunnen gebruik maken van deze twee kwetsbaarheden. Zij kunnen een heel leger van
zombiecomputers (bots) afsturen op het IP-adres van het doelwit. Middels een botnet worden
enorme hoeveelheden verzoeken aan het DNS gericht die daarop antwoord door een nog veel
grotere hoeveelheid data door te sturen naar het doelwit (een klein DNS query kan een veel
langere reactie opleveren). Maar hierdoor wordt niet alleen het specifieke doelwit uitgeschakeld.

Als er meerdere omvangrijke botnets worden gebruikt om meerdere doelwitten aan te vallen, dan
overspoelt het DNS zelf het netwerk dat zij zou moeten dienen [Woodward 2009].
Deze infrastructurele kwetsbaarheid van het internet is al langer bekend is. Maar een groot deel
van de DNS-servers is nog steeds niet op de juiste wijze geconfigureerd om een dergelijke DNS-
amplificatie aanval te voorkomen.
Er zijn nieuwe technologieën ontwikkeld die de DNS veiliger kunnen maken. Het meest bekende is
DNSSEC (Domain Name System Security Extension) dat ontworpen is om aanvallen zoals DNS-
spoofing te voorkomen. Maar zolang deze nieuwe systemen niet op brede schaal worden gebruikt,
zijn ze weinig hulpzaam. Uit een onderzoek uit 2012 bleek dat 40% van de federale instellingen in
de VS nog geen gebruik maakten van DNSSEC, ook al is dat het officiële overheidsbeleid. Technet,
23.4.13].
Naar aanleiding van DDoS-aanvallen op Spamhaus concludeerde de ENISA, de organisatie voor

netwerken informatiebeveiliging in Europa, dat de internetproviders falen om grootschalige
DDoS-aanvallen via DNS amplificatie te voorkomen [ENISA, 12.4.13]. Er zijn minstens drie
maatregelen die op korte termijn genomen zouden kunnen worden.
In de eerste plaats moeten de providers hun inkomende verkeer filteren, zodat er geen
pakketjes met valse afzender worden doorgestuurd. Dit is mogelijk met de techniek van
ingress filtering — zoals al dertien jaar geleden is beschreven door Paul Ferguson en Daniel
Senie [BCP38; BCP38.info].
De tweede maatregel is het uitschakelen van open recursieve naamservers. Volgens een van de
regels van de Best Current Practice [BCP140] kunnen de domeinnaamservers worden beveiligd
tegen DNS-amplificatie aanvallen.
In de derde plaats moeten providers zichzelf beter beschermen tegen directe DDoS-aanvallen.
Zolang de internetproviders deze maatregelen niet nemen, stellen zij hun klanten bloot aan
cyberaanvallen, en stellen zij hun eigen reputatie op het spel.
De bron van DNS-amplicifatie aanvallen is soms nauwelijks te vinden. Om de bron te achterhalen

moeten de logs van de misbruikte DNS-server worden onderzocht. Als deze servers in het
buitenland staan, is het lastig om de hand te leggen op die records. Omdat er bij deze aanvallen
ook vaak botnets worden gebruikt wordt het spoor nog meer verhuld.
Klassieke en geraffineerde DDoS-aanvallen

De klassieke DDoS-aanval geeft een website of server zoveel onnodig werk te doen dat het
reguliere netwerkverkeer niet meer tijdig kan worden afgehandeld.
De meest recente DDoS-aanvallen gaan veel verder dan simpele bandbreedte-aanvallen (traffic

flood). Er zijn diverse DDoS-varianten: DNS-amplificatie aanval, SYN-flood aanval en de TCP ACK
aanval. Bij al dit soort protocol-aanvallen worden netwerkpakketjes naar een systeem gestuurd,
waarbij de verbinding niet tot stand komt. Het aantal halfopen verbindingen onttrekt steeds keer
servicekracht aan het systeem. Het systeem wordt vertraagd, functies vallen uit, en tenslotte gaat
het systeem zelf plat.
Synchronisatie-overstroming
Bij een SYN flood-aanval worden de bronnen van een server in beslag genomen door synchronisatieverzoeken
terwijl de server wacht op een antwoord dat niet komt.
Er wordt een groot aantal verbindingsaanvragen met een fout IP-adres naar een server gestuurd. Bij iedere
aanvraag reserveert de server een deel van het geheugen of een socket. Als de server een bericht terugstuurt met
de mededeling dat hij klaar is voor de verbinding, wordt dit bericht naar het verkeerde IP-adres gestuurd. De
server krijgt daarom geen bericht van ontvangst en blijft wachten op het antwoord. Alle gereserveerde bronnen
blijven in gebruik.
Als er grote aantallen van dit soort valse aanvragen na elkaar worden verzonden is de server niet meer bereikbaar
voor bonafide aanvragen en kan zelfs helemaal plat gaan.
Een tweede vorm van DDoS is application flooding. Daarbij wordt misbruik gemaakt van
kwetsbaarheden van applicaties zoals een web- of mailserver. De cyberceiminelen versturen
daarbij zeer grote hoeveelheden ‘http get-verzoeken’ of zetten massale halve SMTP-aanvagen op
touw. Op die manier nemen zij de beschikbare diensten in beslag en kunnen zij deze applicaties
uitschakelen.
Software ruïneert hardware

Apparaten en machines kunnen worden beschadigd of vernietigd door het manipuleren van de
procescontrolesystemen die hen aansturen. Computers kunnen echter ook zelf softwarematig
worden uitgeschakeld. Dit zijn een aantal effectieve methoden.
Een eenvoudige methode is het manipuleren van de koeling door de ventilator. Computers
moeten worden gekoeld. Als dat niet gebeurt —omdat malware de ventilator uitschakelt of de
rotatiesnelheid verlaagd— raken computers oververhit.
Een andere methode is het verhogen van het voltage. Hierdoor kan zowel het geheugen als de
processor ernstig worden beschadigd.
De firmware (software die in de hardware is ingeprogrammeerd) en de microcode

(programmacode van de processor - CPU) kunnen worden overgeschreven met een nieuw
programma (flashing). Zonder die geldige firmware of microcode werkt de computer niet meer.
Door het installeren van foute firmware kan de hardware permanent worden beschadigd. Niet
alleen het geheugen en de processoren lopen hierdoor gevaar, maar ook de harde schijven.

Middels een Pseudo Format Attack worden continu alle sectoren van de harde schijf
volgeschreven. De harde schijf raakt hierdoor in een oneindige loop van schrijf- en
leesopdrachten en raakt daardoor overbelast.
Bij een Spindown Attack laat de aanvaller de harde schrijf om de minuut in spindown mode
gaan: de harde schijf schakelt zichzelf uit en dan weer aan.
Door overklokken (overclocking) wordt de kloksnelheid van de computer verhoogt waardoor

de onderdelen sneller werken dan binnen de specificatie (en garantie) van de fabrikant. De
hardware wordt overbelast en raakt oververhit omdat er door het overklokken van
componenten meer warmte wordt gegenereerd dan normaal.
Voor al deze cybotagetechnieken is een ruim aanbod van kwaadaardige software beschikbaar
[Kotler 2011]. Alles dat door software wordt gecontroleerd, kan door malware worden verstoord of
vernietigd.
Mobiele malware
“De groeiende populariteit van smartphones en tablets heeft de aandacht getrokken van cybercriminelen,
die ze als een fantastische gelegenheid zien om uw gegevens en geld in handen te krijgen, of om gewoon
schade aan te richten. Met dit doel zijn ze nu allerlei bedreigingen aan het ontwikkelen die ontworpen zijn
om op mobiele platforms te werken” [McAfee].
Smartphones en tablets zijn mini-pc’s waarmee je ook kunt bellen.

Het zijn kleine computer met veel waardevolle informatie waar
cybercriminelen op azen. Net als alle andere computers zijn deze
mobiele apparaten gevoelig voor malware en spyware.
Smartphones en tablets die op Android, het besturingssysteem van

Google, draaien zijn bijzonder kwetsbaar voor kwaadaardige software. De applicaties van Android
worden niet van te voren gecontroleerd. Dubieuze apps worden door Google pas uit de
applicatiewinkel verwijderd nadat er klachten binnenkomen. Het Android platform blijft het
grootste doelwit voor zowel mobiele malware als spyware [McAfee, 2012]. Meer dan 98% van de
mobiele malware die in 2013 werd ontdekt is gericht op het Android-platform.
Medio 2012 werden Android smartphones geïnfecteerd met de virussen «Loozfon» en «FinFisher».
De spyware wordt geïnstalleerd zodra er op een specifieke link wordt geklikt. Slachtoffers worden
op verschillende manieren benaderd. In een variant werd betaald thuiswerk aangeboden waarbij
men alleen maar e-mails hoefde te versturen. Een link binnen deze advertentie leidde naar een
website die was geprepareerd om Loozfon op het mobieltje te zetten. Zodra Loofzon was
geïnstalleerd begon het alle contactgegevens die in het mobieltje zijn opgeslagen te stelen.

FinFisher (of FinSpy) is nog veel gevaarlijker. Na installatie kan de smartphone op afstand worden
bestuurd en gevolgd, waar de gebruiker zich ook bevindt. Op 15 october 2012 waarschuwde de
Amerikaanse FBI de Android-gebruikers voor deze spyware [IC3, 12.10.12].
Mobiele apparaten —smartphones en tablets— zijn notoir onveilig. Slechts vier procent van die
apparaten is voorzien van beveiligingssoftware. Alle mobiele apparaten kunnen worden
geïnfecteerd met schadelijke software [Wired, 25.10.12].
Slechts bij 4% van de smartphones en tablets die in 2010 werden verkocht is een of andere
vorm van mobiele beveiliging ingebouwd [onderzoek van Canalys, 4.10. 11].
Bij minder dan 1 van de 20 smartphones en tablets is beveiligingssoftware ingebouwd
[onderzoek van Juniper Research, 1.8.11].
In 2010 werden al 2.500 verschillende soorten mobiele malware geïdentificeerd en dat aantal is
sindsdien zeer sterk toegenomen [mobiThinking, 2.11.11; Symantec, jun 2011]. In 2013
werden 143.211 nieuwe modificaties van kwaadwaardige programma’s geregisteerd die op
mobiele apparaten zijn gericht [SecureList, 24.2.14].
Trojaanse paarden zijn erg populair voor Android-apparaten omdat iedereen een app kan plaatsen
op de Android-markt. Ze zijn erg effectief omdat zij geen technische kwetsbaarheden nodig
hebben om zichzelf te installeren. Trojaanse paarden zitten verpakt in spelletjes en andere
applicaties die we zelf op onze mobieltjes en tablets plaatsen. Mobiele malware verspreidt zich
veel sneller dan traditionele malware omdat de doelwitten altijd aan een netwerk zijn verbonden.
De meeste mobiele malware is ontworpen om geld te stelen van gebruikers. De sterke groei van
het zakelijk gebruik van tablets en smartphone heeft voor nog meer mobiele malware en nieuwe
veiligheidsrisico’s voor bedrijven gezorgd.
Tic Tac Toe / Boter Kaas en Eieren

Het is bekend dat cybercriminelen hun malware vermommen als nuttige applicaties. Tegenwoordig wordt
crimeware ook verpakt in spelletjes, en vooral in spelletjes voor mobiele apparaten. Cybercriminelen concentreren
zich vooral op mobiele apparaten die op het Android besturingssysteem draaien. Zij vinden steeds weer nieuwe,
meer innovatieve manieren om beveiligingslekken te exploiteren.
In 2014 werd het spelletje Tic Tac Toe (Boter Kaas en Eieren) op de mobiele Adroid markt gelanceerd. Kasparsky
Lab ontdekte dat de code voor het spelletje minder dan 30% van de bestandsomvang uitmaakt. De rest is
functionaliteit voor het bespioneren van de gebruiker en het stelen van persoonsgegevens. Het ingebouwde
Trojaanse paard verzamelt informatie over het apparaat en stuurt alle gegevens naar de commando-server van de
crimineel [Securelist, 10.10.14].
Het gratis aangeboden open source raamwerk AFE (Android Framework for Exploitation) is een modulair
programma dat cybercriminelen kunnen gebruiken om malware voor het Android-platform te maken die past bij
hun doelstelling. Deze worden vervolgens anoniem op de onbetrouwbare Adroid markt geplaatst.
AFE bevat alle modules die een cybercrimineel zich maar kan wensen: ontsluiten van logboek van gepleegde
telefoontjes, contactinformatie, inhoud van mailbox, versturen van SMS-jes, overzicht van surfgedrag op internet,
opnemen van telefoongesprekkken, opvangen van beelden gemaakt met camera van het apparaat, lanceren van

root exploits, op afstand bellen van elk betaalnummer vanaf het gekaapte apparaat. De malware-bouwdoos bevat
ook sjablonen aangeleverd om de mobiele malware te maskeren als legitieme applicaties, zoals File Explorer, Tic
Tac Toe en applicaties met grappen [InfoWorld, 3.8.12; YouTube, 3.5.13; Gupta 2013; Tweakers, 6.8.12].
Beveiliging: verdedigen tegen aanvallen van buiten
Computersystemen en netwerken zijn slechts tot op bepaalde hoogte bestand tegen kwaadaardige
aanvallen van buitenaf. Hun weerbaarheid is afhankelijk van de beveiliging. De beveiliging moet
ervoor zorgen dat computersystemen weerbaar worden tegen externe verstoringen door
kwaadwillende individuen die op illegale wijze proberen in te breken.
Er kan op drie verschillende manieren in computers worden ingebroken.
via de fysieke ingang: toegang via deuren van gebouwen waarin computersystemen staan.
via de personele ingang: toegang via de mensen die met het computersysteem werken of
die deel uitmaken van een netwerk.
via de digitale ingang: toegang tot software programma’s via internet of intranet.
Via deze drie ingangen kunnen kwaadwillende buitenstaanders clandestien toegang verwerven tot
de informatiebronnen en communicatieprocessen. De weerbaarheid van computersystemen en

netwerken is een samenstel van fysieke beveiliging, personele beveiliging, ict-beveiliging en

informatie- & communicatiebeveiliging.
Er is een groot repertoire aan digitale aanvalstechnieken en methodieken. Computersystemen en

netwerken moeten niet alleen worden beveiligd tegen relatief eenvoudige aanvallen, zoals e-mail
bombardementen, webonthoofdingen en DDoS-aanvallen. Ze moeten ook worden beveiligd tegen
meer complexe aanvallen met virussen, wormen en Trojaanse paarden, en tegen geavanceerde
spyware waarmee communicatie wordt afgeluisted en informatie wordt gestolen. Bovendien moet
in al deze gevallen worden bepaald of het gaat om vandalisme van amateurhackers,
computerfraude van kleine criminelen, georganiseerde criminele bendes, terroristische
organisaties, buitenlandse inlichtingendiensten of een aanval van militaire strijdkrachten.
Computersystemen en netwerken kunnen op twee manieren worden verdedigd: passief en actief.

Bij een passieve verdediging worden speciale barrières opgeworpen die door een aanvaller niet
kunnen worden overwonnen. Bij een actieve verdediging wordt elke zich ontwikkelende aanval
direct afgeslagen en worden door vernietiging van de criminele aanvalsposities verdere aanvallen
onmogelijk gemaakt.
Passieve verdediging: reactief en proactief

Bij passieve verdediging wordt geprobeerd een bescherming op te bouwen
die een cybercrimineel niet kan doorbreken. Het klassieke voorbeeld
daarvan is de slot op de deur of kluis om dieven dieven te verhinderen om
in te breken en waardevolle objecten te stelen. De digitale variant hiervan
is de firewall. Deze brandmuur zou onze computers en netwerken moeten beschermen tegen het
vuur dat cybercriminelen ons aan de schenen leggen. Ze zou ons als een Chinese muur of
slotgracht moeten beschermen tegen kwaadaardige aanvallen van buitenaf.
Naast firewalls zijn er hele series van passieve verdedigingsmechanismen op de internetmarkt

gebracht: wachtwoordbescherming (toegangscontrole), virusscanners, detectiesystemen,
encryptie.
Het blijft een kat-en-muis spel: hardnekkige criminelen proberen zoeken en vinden telkens nieuwe
methoden waarmee passieve beschermingsmaatregelen worden ontweken, overwonnen,
ondergraven of doorbroken. Alle passieve verdedigingsmechanismen hebben tegenover
cybercriminelen al meerdere keren grondig gefaald. Ze slagen er telkens weer in de
beveiligingssystemen te verslaan.
Dit heeft meerdere redenen.

Alleen wat al bekend is

De meest beveiligingsmaatregelen zijn niet proactief maar louter reactief. Ze beschermen de
systemen niet tegen een breed spectrum van mogelijke aanvallen in de toekomst, maar
terugblikkend naar reeds bekende aanvalsvarianten. Virusscanners werken op precies dezelfde
manier. Een virus moet al bekend zijn (gedetecteerd, Al bekend wordt niet herkend
Veel organisatie vertrouwen op software die
geïdentificeerd en ontleed) voordat een korte
scant op signaturen om zich te beveiligen
beschrijving van zijn eigenaardigheden (signatuur) tegen zero-day lekken. Maar dit geeft ten
onrechte een veilig gevoel. Een goede aanval
aan de virusscanner kan worden doorgegeven.
neemt immers een signatuur aan die bekend is
Vervolgens toetst de virusscanner alle nieuwe op het netwerk en wordt dus niet herkend.
gegevens op deze signatuur. Maar onbekende Daarom kan men beter kijken naar ongewone
gedragingen van vertrouwd netwerkverkeer.
virussen gaan volkomen ongemerkt aan de antivirus Op die manier kan men gedragingen
software voorbij. De diversiteit en het volume van detecteren die afwijken van de gebruikelijke
bewegingen die bij die bekende signatuur
kwaadaardige softwarecodes (malware) is horen.
fenomenaal. Dit ondermijnt de effectiviteit van
traditionele beveiligingen die gebruik maken van op signatuur gebaseerde technieken.
Vrij spel voor mutanten

De eenvoudigste manier voor een aanvaller om een virusscanner te omzeilen is om telkens een
beetje te variëren. De scanner vergelijkt dat licht gemodificeerde virus met zijn lijst van
bekende virussignaturen, maar herkent deze niet als variant en laat hem door. Variatie is een
basisprincipe van de aanvaller om een slechte defensies heen te ontwijken.
Het vervelendste is dat deze variatiemethode geautomatiseerd kan worden: een enkel virus
wordt op verschillende plaatsen op grote schaal gevarieerd. Zo ontstaan er vele duizenden
gemuteerde virussen die bij het binnendringen van de computer door geen enkele scan worden
onderkend. Conventionele virusscanner onderscheppen slechts 70% van de bekende virussen.
Toch is deze tamelijk eenvoudige methode al behoorlijk succesvol.
Alle beveiligingsprogramma’s zijn ook aanvalswapens

Er bestaat een zeer omvangrijke markt voor beveiligingssoftware. Dat zijn programma’s en
softwarepakketten waarmee systeembeheerders hun eigen systemen testen op mogelijke
kwetsbaarheden (beveiligingscontrole) en waarmee zij kunnen proberen om die
veiligheidslekken te gebruiken om in te breken (penetratietest). Een groot deel van deze
instrumenten is op internet vrij verkrijgbaar en hun commerciële varianten worden verkocht
tegen prijzen die al door kleine criminelen als een aantrekkelijke investering worden gezien.
Alle software die voorhanden is voor de controle en het testen van de veiligheid van de eigen
systemen (die hieronder uitvoeriger worden behandeld in automatische spionnen) kan echter
ook als aanvalswapen worden gebruikt door kwaadwillende buitenstaanders. Het metier van de

malwaremakers heeft zich inmiddels tot grote hoogte ontwikkeld. Hierdoor is niet alleen de
variatie van virussen, wormen, trojaanse paarden en botnets sterk toegenomen, maar ook hun
complexiteit en geraffineerdheid. Een standaardbeveiliging van computersystemen en
netwerken is allang niet meer voldoende.
Passieve verdediging is dus alleen maar effectief als de bedreiging al bekend is. De
detectiemechanismen moeten bovendien zeer nauwkeurig werken zodat er niet per ongeluk
bepaalde gegevens worden afgevangen die op virussen lijken (en dat is wat veel virussen doen).
Daarom kan een aanvaller met virussen die slechts licht gevarieerd zijn al door de
beveiligingsmaatregelen heen breken.
De criminele aanvaller is de verdediger dus altijd Veel crackers zijn zeer getalenteerd en moeilijk te
blokkeren, terwijl de beveiliging van bedrijfs- en
een stap voor. De tijd die nodig is om een virus
overheidsnetwerken ondermaats is. De meerderheid van
te ontdekken, haar signatuur te bepalen en op te de bedrijven hebben niet eens door dat hun systemen
zijn gecompromitteerd. Zij beseffen pas wat er gebeurd is
laten nemen in de protectielijsten van de
nadat buitenstaanders hen dat hebben verteld.
gebruikers is nog steeds veel langer dan de
Uit al het onderzoek blijkt telkens weer dat
malware zelf nodig heeft om zich te verspreiden. cybercriminelen technologisch geavanceerder zijn dan
Reactieve veiligheid is altijd te laat: voor een degenen die proberen hen te stoppen. Ondanks alle
investeringen in beveiligingstechnologie�n vinden
beveiligingsexpert die de bedrijfsveiligheid moet cybercriminelen telkens weer manieren om deze
waarborgen, is dat een ernstig probleem. beveiligingen te omzeilen om gevoelige informatie te
stelen die zij kunnen monetariseren [Washington Times,
Passieve verdediging is slechts zo sterk is als 28.2.14].
haar zwakste schakel. Een cracker hoeft alleen
maar één exploiteerbare zwakte te vinden om toegang te krijgen tot het systeem. De ‘bad guys’
kunnen overal aanvallen waar zij willen, de ‘good guys’ moeten overal verdedigen.
Een proactieve verdediging stuit op andere problemen. Een proactieve verdediging probeert een
cyberdelict te blokkeren voordat dit
Een van de meest beproefde proactieve
slachtoffers eist. Onderdeel daarvan kan zijn
beveiligingmaatregel is het monitoren van alle het monitoren van chatrooms en webfora om
individuen die seksueel misbruik willen maken
datastromen binnen het eigen computersysteem en
van kinderen op te sporen
tussen dit systeem en externe systemen. In de [Penna/Clark/Mohay 2005].
dataleidingen van het eigen netwerk kunnen
meetapparaten (sensoren) worden aangebracht die op opvallende patronen in de doorstromende
data detecteren (intrusion detection). De systeembeheerder kan deze software zelf configureren
en bijvoorbeeld zelf definiëren wat ‘abnormaal’ is [Denning 1987; Scarfone/Mell 2007].
Terwijl een firewall alleen maar pakketjes blokkeert of toelaat is een Intrustion Detection System
(IDS) in staat een aanval waar te nemen. Een IDS fungeert dus eigenlijk als een alarmsysteem.
Maar bij zeer grote hoeveelheden data moet altijd rekening worden gehouden met een normale

basisruis omdat er anders te vaak vals alarm gegeven wordt [Anderson 2001:387-388; Mattord
2008:290�301]. Voor een cybercrimineel is dit meestal voldoende om zijn aanvallen door de
sensoren te krijgen.
Bovendien wordt de malware niet in een keer naar binnen gesluisd, maar in onderdelen die dan op
een specifieke plaats in elkaar worden gezet en vervolgens voor kwaadaardige acties kunnen
worden ingezet. De sensoren van het beveiligingsysteem definiëren elke afzonderlijke component
van de malware als onschadelijk/ongevaarlijk. Als alle onderdelen van de malware op de bestemde
plek zijn aangekomen, kan het daar zichzelf samenstellen en beginnen met het criminele werk.
De meest geavanceerde criminele malware begint haar werk in een toestand van ‘infinite sleep’
Vanuit deze slaaptoestand worden eerst een paar controles uitgevoerd voordat de malware zichzelf
lanceert. Er wordt vooral gecontroleerd of de lokale harde schijf geen virtuele machine is die als
honeypot is opgezet om malware te vangen. Als blijkt dat het valstrik is dan blijft de malware
inactief. Soms is de code van de malware in staat om zichzelf te zodanig te modificeren dat het
wel in staat is om de beveiligingsmechanismen te misleiden.
Misleiding van detectie- en preventiesystemen

Een intrusie detectiesysteem (IDS) is een systeem dat ontworpen is om intrusies te detecteren, of
ongeautoriseerde pogingen om toegang te krijgen tot een computersysteem of netwerk en daarin iets te
veranderen of te manipuleren. Dergelijke systemen kunnen netwerkgebaseerd zijn (NIDS): zij monitoren al het
verkeer dat het netwerk binnen komt of verlaat en kijkt naar onregelmatige activiteiten. Zij kunnen ook gefocused
zijn op individuele protocollen of applicaties.
Een intrustie preventiesysteem (IPS) is in staat een aanval te detecteren en vervolgens actie te ondernemen, door
bijvoorbeeld al het verkeer van de aanvaller te blokkeren en het overige verkeer door te laten.
Een nadeel van IDS/IPS-systemen is dat er vaak te veel false positives zijn. Daarbij wordt ten onrechte alarm
geslagen voor iets dat als een aanval of malware wordt aangezien. Dit kan bijvoorbeeld een e-mail zijn die is
tegengehouden omdat het beveiligingssysteem het als een spam mail identificeert, terwijl het een legitieme e-mail
was. Voor een effectieve proactieve verdediging is het dus van belang om de IDS/IPS-systemen goed te
programmeren zodat het aantal valse alarms zo laag mogelijk te houden.
Er zijn diverse manieren waarop een intrusie detectie- of preventiesysteem (IDS/IPS) kan worden misleid. De
aanval zelf kan zodanig worden gemanipuleerd dat het verschillende informatie geeft aan het IDS/IPS-systeem
van het aangevallen computernetwerk. Het is onmogelijk om alle intrusies en anomalie�n te identificeren [Singh
2010].
Computer immuunsysteem
Er zijn nieuwe instrumenten in omloop voor een proactieve verdediging: adaptive response tools. Daarbij wordt
detectiesoftware gekoppeld aan geautomatiseerde reacties waardoor het netwerk ‘zichzelf’ verdedigt tegen
aanvallen. Met gebruik van de principes van kunstmatige intelligentie wordt lenige software ontwikkeld die snel
nieuwe bedreigingen kan identificeren en dienovereenkomstig kan reageren. Hierdoor kan snel en flexibel worden
gereageerd op zowel op interne als externe bedreigingen. De programma’s bevatten een lijst van reacties op
aanvalsvarianten die op basis van nieuwe ervaringen telkens wordt gewijzigd. De detectie/responsie software
verspreidt zichzelf in alle knooppunten van het eigen systeem. Daarom blijft het de computers beschermen ook als
er een lokale server uitvalt.

De inspiratiebron voor deze slimme software is de manier waarop het

natuurlijke immuunsysteem functioneert. Het immuunsysteem van levende
organismen heeft veel eigenschappen die gewenst zijn voor de imperfecte,
ongecontroleerde en open omgevingen waarin de meeste computers
opereren [Somayaji/Hofmeyr/Forrest 1997; Balthrop/Forrest/Newman/
Williamson 2004]. Een immuunsysteem maakt onderscheid tussen het ‘zelf’
en het gevaarlijke ‘andere’ en elimineert deze gevaarlijke elementen
(vreemde ziekteverwekkers zoals bacteria, virussen, parasieten en giftige
stoffen).
De bescherming van computersystemen tegen kwaadaardige intrusies werkt op vergelijkbare manier.

Beveiligingssoftware probeert alle vreemde en gevaarlijke elementen en processen te identificeren: elke niet
geautoriseerde gebruiker, vreemde code in de vorm van een computervirus of worm, niet geanticipeerde code in
de vorm van een Trojaans paard of gecorrumpeerde data. Vervolgens moeten deze oneigenlijke en gevaarlijke
elementen en processen gericht worden bestreden. De analogie tussen computerbeveiliging en biologische
processen werd al in 1984 onderkend, toen Leonard Adleman de term computervirus introduceerde.
Stel je eens voor ...

“Consider a biological disease that is 100% infectious, spreads whenever animals communicate, kills all infected
animals instantly at a given moment, and has no detectable side effects until that moment. If a delay of even one
week were used between the introduction of the disease and its effect, it would be very likely to leave only a few
remote villages alive, and would certainly wipe out the vast majority of modern society. If a computer virus of this
type could spread throughout the computers of the world, it would likely stop most computer usage for a
significant period of time, and wreak havoc on modern government, financial, business, and academic institutions”
[Cohen 1987].
Conventionele beveiligingsmethoden concentreren zich op bepaalde kritische toegangspunten:

alleen de in- en uitgangen naar het internet worden beveiligd, maar niet het hele systeem.
Creatieve en bronrijke criminelen zullen weliswaar ook het internet gebruiken als zij daardoor
interessante doelstellingen kunnen bereiken, maar als dat niet het geval is zoeken zij naar andere
wegen: een infiltrant (een persoon die van binnenuit werkt) of een achterdeurmen die in het
computernetwerk van de organisatie is ingebouwd. Op die manier wordt dan op elegante wijze
voorbijgegaan aan de firewall en alle andere beveiligingsmaatregelen.
Actieve verdediging
Bij een louter passieve beveiliging staat een zwakke verdediger tegenover een oppermachtige
aanvaller. Bij een actieve of dynamische beveiliging wordt elke potentiële en actuele aanval in de
kiem gesmoord en worden verdere aanvallen onmogelijk (of moeilijker) gemaakt door de vijandige
aanvalsposities en -lijnen uit te schakelen of te degraderen. Er zijn vier actieve vormen van
beveiliging:
a. Preëmptieve aanval
Bij een preëmptieve aanval probeert men om in een dreigende en onvermijdelijke geachte
confrontatie een strategisch voordeel te behalen voordat die dreiging werkelijkheid wordt. Een
preëmptieve aanval op infrastructuur van het vijandige informatiesysteem verhindert dat deze
wordt gebruikt om effectieve aanvallen te lanceren.

Preventieve en preëmptieve aanvallen

Een preëmptieve aanval is niet hetzelfde als een preventieve aanval. Een preventieve aanval wordt gelanceerd
om de potentiële bedreiging van een vijand te vernietigen terwijl er op dat moment nog geen aanval wordt
uitgevoerd, gepland of anderszins wordt voorbereid. Een preëmptieve aanval wordt gelanceerd in anticipatie
van een directe vijandelijke agressie.
Een preventieve oorlog is een daad van agressie (volgens artikel 2, sectie 4 van het Handvest van de Verenigde
Naties breekt zij de vrede omdat ze de soevereiniteit van een staat aantast). Een preëmptieve aanval is een
vorm van legitieme zelfverdediging. Volgens het internationale recht moet zo’n zelfverdediging voldoen aan een
aantal strikte voorwaarden, zoals het beginsel van proportionaliteit (evenredigheid) en van distinctie
(onderscheid tussen militaire en civiele doelwitten) [O’Connel 2012].
Preëmptieve aanvallen zijn vaak niet effectief omdat ze de aanvalscapaciteiten van de

tegenstander niet kunnen te treffen. Een competente cyberstrateeg zorgt ervoor dat zijn
aanvalscapaciteiten geïsoleerd van het internet blijven totdat ze feitelijk hun aanval beginnen.
Aanvallende cybercapaciteiten kunnen gemakkelijk worden verborgen, gedistribueerd worden
opgeslagen en volledig buiten het bereik van de tegenstander worden gehouden. In het
gunstigste geval kunnen ze worden gelokaliseerd door personele infiltratie (spionnen en
mollen).
Een preëmptieve aanval is per definitie een vijandige handeling. Daarom zullen de bevoegde
autoriteiten zo’n aanval alleen maar goedkeuren wanneer ze een redelijke garantie hebben dat
de effecten van de aanval beperkt kunnen blijven tot het vijandige netwerk. Maar dit
veronderstelt (i) dat de offensieve vijandige krachten en/of hun ondersteuningsstructuren
gelokaliseerd kunnen worden en (ii) dat zij gedegradeerd of vernietigd kunnen worden voordat
ze effectief gebruikt kunnen worden.
Het netwerk dat de bron van een aanval lijkt te zijn zou in werkelijkheid wel eens slechts een
tussenschakel kunnen zijn die door de aanvaller wordt gebruikt om de ware oorsprong te
verhullen. De aanvaller kan zijn cyberactie ondernemen vanuit een neutraal of zelfs vriendelijk
netwerk dat hij al gecompromitteerd heeft. Competente hackers beschikken over een
uitgebreid instrumentarium waarmee zij bewijzen van hun activiteiten (digitale sporen) kunnen
wissen (zoals utclean.c en tlnthide.c).
Preëmptieve aanval en first-strike

De Amerikaanse minister van Defensie Leon Panetta verklaarde dat cyberaanvallen net zoveel schade
berokkenen als de fysieke aanvallen op 11 september 2001. Er worden geavanceerde cyberwapens ontwikkeld
om cruciale controlesystemen voor utiliteiten, industrie en transport te ontwrichten en te vernielen.
“Een aanvallende natie of extremistische groep zou controle kunnen krijgen over kritische knoppen en
passagierstreinen kunnen laten ontsporen of treinen geladen met dodelijke chemicaliën. Zij kunnen de
watervoorziening in grote steden besmetten, of de stroomvoorziening in grote delen van het land afsluiten.
Zo’n cyberterroristische aanval zou de natie kunnen verlammen en een diep besef van kwetsbaarheid
creëren” [BBC 12.10.2012].
Bij een serieuze cyberaanval zal de VS daarom direct reageren met een preëmptieve actie. Potentiële agressors
worden gewaarschuwd dat de VS het vermogen heeft om ze te lokaliseren en ze verantwoordelijk zal stellen

voor acties die Amerikaanse belangen schaden. Het enige dat nog afgerond moest worden zijn wijzigingen in de
rules of engagement waarin wordt vastgelegd in welke gevallen er direct gereageerd mag worden op
belangrijke bedreigingen.
b. Tegenaanval
Een tegenaanval is een tactiek die gebruikt wordt in reactie op een aanval. De tegenaanval
richt zich tegen het informatiesysteem van de cybercrimineel tijdens of direct na de originele
aanval. Het doel is om het voordeel dat door de crimineel wordt behaald tijdens een aanval
teniet te doen of te blokkeren. Een tegenaanval is effectief als deze vroeg genoeg begint om
alle voorbereidende activiteiten onschadelijk te maken voordat de aanval is voltooid.
Een tegenaanval in cyberspace bestaat uit vijf stadia: (i) een effectieve detectie van vijandige
acties waarbij een onderscheid gemaakt wordt tussen gradaties van intrusies: van triviale
sondes tot aan substantiële aanvallen; (ii) het identificeren van de bron van inkomende sondes,
malware, exploits etc.: weten wie de vijand is en waar deze zich bevindt; (iii) het bepalen van
vijandige intenties; (iv) het ontwerpen en in werking zetten van directe en indirecte
tegenmaatregelen die proportioneel zijn aan de intensiteit van de aanval; en (v) de evaluatie
van de effectiviteit van de tegenaanval.
De bron en kenmerken van een vijandige cyberaanval worden meestal pas duidelijk op het
moment dat deze feitelijk wordt uitgevoerd. Net als bij preëmptieve aanvallen moet ook hier de
bron van de aanval worden gelokaliseerd en gescand op kwetsbaarheden. Al deze taken
moeten zijn voltooid voordat de aanvaller zijn aanval beëindigd heeft en zijn netwerk en
cyberwapens van het internet heeft verwijderd.
Een tegenaanval vereist in de eerste plaats dat de originele aanval snel kan worden
teruggevoerd tot de bron. We zullen nog zien hoe lastig dit is. Er zijn geen internationale
overeenkomsten die het mogelijk maken om cyberaanvallers in andere landen op te sporen.
Maar zelfs als de bron van een vijandige aanval betrouwbaar is gelokaliseerd, is de tijd die
beschikbaar is voor een tegenaanval ongemeen kort. De aanvaller weet precies hoeveel tijd hij
nodig heeft voor zijn aanval en verdwijnt daarna zo spoedig mogelijk van het cybertoneel.
Tegenaanvallen bieden geen voordelen op lange termijn. Ze elimineren de directe dreiging,

maar lossen het onderliggende probleem van onveilige computernetwerken en gebrekkige
beveiliging niet op. Zodra de kwetsbare systemen worden schoongeveegd van kwaadaardige
software, kunnen zij direct daarna weer worden geïnfecteerd.
Escalatie van het conflict

De vraag is wat een aanvaller doet wanneer hij met een tegenaanval wordt geconfronteerd. De aanvaller zou
kunnen besluiten om nog agressievere aanvalstechnieken in te zetten en nieuwe malware kunnen gebruiken
die nog moeilijker te verwijderen is. Een worm kan bijvoorbeeld de gastcomputer vernietigen als er mee

geknoeid wordt. Hierdoor verandert de gastcomputer in een soort ‘menselijk schild’ (gijzelaar) om
tegenaanvallen af te schrikken [Hoskins/Liu/Relkuntwar 2005].
Juridische kwesties
Tegenaanvallen in het digitale domein verkeren per definitie in een juridisch grijs gebied. Wanneer een bedrijf
of overheid een tegenaanval lanceert, kunnen zij dezelfde strafwetten overtreden als de aanvaller en kunnen
zij aansprakelijk worden gesteld voor schade als gevolg van de tegenaanval. Een tegenaanval kan alleen als
zelfverdediging worden gerechtvaardigd wanneer de gebruikte methode proportioneel is aan de initiële aanval,
en er geen andere redelijke alternatieven waren [Karnow 2005].
c. Misleiding
In de bestrijding van cybercrime speelt misleiding een belangrijke rol. Men kan proberen om
cybercriminelen met beveiligingsmaatregelen buiten het eigen netwerk te houden. Maar men
kan ze ook op het verkeerde been zetten en ze doorsturen naar een loknetwerk (honeypot) dat
onderdeel lijkt te zijn van een netwerk, maar dat daarvan feitelijk is ge�soleerd en permanent
wordt gemonitord. Het is een valstrik die bedoeld is om pogingen tot ongeautoriseerde gebruik
van informatiesystemen af te leiden.
De criminelen denken succesvol te zijn, terwijl ze in feite worden geneutraliseerd.

Cybercriminele aanvallen moeten dan wel snel en adequaat worden ontdekt om ze tijdig te
kunnen omleiden naar nepnetwerken. Het is een soort digitaal judo waarbij gebruik gemaakt
wordt van het momentum van de aanval om deze af te slaan [Holdawy 2001].
De eenvoudigste manier is om een

exploiteerbare kwetsbaarheid (trap door) op te
zetten die de crimineel naar het virtuele
nepnetwerk leidt. Zo’n nepnetwerk wordt
opgebouwd achter een niet-verdedigde poort of
een user account waarvan het wachtwoord
gekraakt kan worden met een
wachtwoordkraker. Het nepnetwerk geeft valse
informatie waardoor de crimineel gaat geloven
dat hij succesvol is [Spitzner 2002; Pouget/Dacier/Debar 2003].
Criminelen misleiden
Criminelen inspecteren internetlocaties (zoals websites) en servers om hun structuur, functies en
kwetsbaarheden te achterhalen. Daarbij wordt gebruikt gemaakt van instrumenten die dit verkennend
onderzoek automatiseren.
Er zijn diverse technieken waarmee criminelen kunnen worden misleid en waarmee hun automatische
instrumenten onschadelijk worden gemaakt. Een verkenner (spider) kan bijvoorbeeld worden gevangen in een
teerput door het maken van neplinks die nergens toe leiden. De server controleert welke informatie een
crimineel ontvangt: die informatie hoeft niet waarheidsgetrouw of onschuldig te zijn. Met dergelijke
tegenmaatregelen loopt de crimineel het risico al getraceerd te worden voordat er een aanval kan worden
gelanceerd.

Een honeypot is een loknetwerk of lokcomputer waarin bewust kwetsbaarheden zijn ingebouwd om inbraken
in het systeem te observeren. Het doel van een honeypot is dus om aanvallen te detecteren en daarvan te
leren om de beveiliging te verbeteren. De zwakke beveiliging zorgt ervoor dat de honeypot een aantrekkelijk
doel wordt voor criminelen. Omdat het lokaas voorzien is van uitgebreide logging, kunnen IP-adressen,
hacktechnieken en werkstijlen van de cybercriminelen worden achterhaald. Een netwerkbeheerder krijgt
hierdoor first hand informatie over actuele bedreigingen van zijn netwerk [Spitzner 2002]. Een honeypot kan
gebruikt worden om de gegevens van de cybercrimineel zelf te achterhalen (zoals IP-adres) en op te sporen.
De gegevens die door een honeypot zijn verzameld kunnen als bewijs dienen.
Een honeypot is de digitale variant van een lokauto die door de politie is geprepareerd en schijnbaar
onbewaakt wordt neergezet op een plek waar autodieven vaak hun slag slaan. Als de lokauto wordt gestolen
kunnen de observerende agenten van afstand de deuren en ramen vergrendelen en de motor uitschakelen. Zo
worden autodieven op heterdaad betrapt.
Digitale rechercheurs misleiden

Beveiligingsexperts proberen met de honeypot-tactiek om cybercriminelen om de tuin te leiden. Maar deze
valstrik kan ook door cybercriminelen worden gebruikt om digitale rechercheurs op het verkeerde been te
zetten.
Een aantal beheerders van botnets hebben een interface ontwikkeld die lijkt op de admin console van het
botnet. Normaliter geeft deze admin console informatie over de frequentie van de aanvallen, het aantal
infecties en kan er nieuw malware mee in het botnet worden geladen.
Om digitale rechercheurs meer kans te geven om in de nepinterface te komen wordt deze bewust kwetsbaar
gemaakt voor bijvoorbeeld een simpele SQL-injectie. Het inlogsysteem van het ‘admin panel’ vraagt er bijna
om gehackt te worden. Het accepteert standaard wachtwoorden en wachtwoorden die gemakkelijk geraden
kunnen worden. Digitale rechercheurs die deze gefingeerde admin console onderzoeken om meer te weten te
komen over het botnet en de beheerders, krijgen nepinformatie en worden zo zelf om de tuin geleid
[Darkreading, 3.11.10; Webwereld, 8.11.10].
De verwachting is dat dergelijke anti-forensische praktijken door cybercriminelen steeds meer gebruikt zullen
worden om hun opsporing te bemoeilijken en rivalen van zich af te schudden. Cybercriminelen stellen alles in
het werk om hun botnets te beschermen. Zij gebruiken monitoring scripts die kunnen detecteren of zij door
rechercheurs in de gaten worden gehouden. Wanneer dit het geval is wordt het hele botnet automatisch
ge�nstrueerd om ze met DDos-aanvallen te overspoelen. Hierdoor wordt de analyse van kwaadaardige
botnets voorkomen en politi�le opsporing geblokkeerd.
Voor het identificeren van kinderpornografen en pedofielen wordt meestal gebruik gemaakt van
twee soorten misleidingsmethodieken. De eerste is het opzetten van websites die
kinderpornografisch materiaal lijken te bevatten, maar die zijn ontworpen om makers en
verzamelaars van kinderporno te identificeren. De tweede methodiek is het surveilleren op
chatrooms waarbij politieagenten zich uitgeven voor kinderen om personen te identificeren die
proberen offline kinderen te ontmoeten.
Sommige pedofielen behoren tot de beste hackers ter wereld. Zij zijn in staat om de harddisk
van iemand online te controleren om te achterhalen of iemand waarmee zij spreken werkelijke
degeen is die hij zegt te zijn. Als een rechercheur zich online voordoet als een 9-jarig meisje,
dan moet hij ervoor zorgen dat alles wat op de harddisk staat daarmee correspondeert (bijv.
bepaalde soorten muziekbestanden, e-mails van en naar vrienden en vriendinnen over
problemen op school en thuis).

Eventueel: automatisering noodzakelijk want undercover online kost zeer veel tijd. Dit bijv. in
de vorm van automatische discours analyse: cognitieve modeltechnieken voor het detecteren
van pedofiele verhalen; en beeldtechnieken om kinderporno op te sporen. Automatische
beeldanalyse wordt lastig als er gebruik gemaakt wordt van steganografie (waarmee het
bestaan van het beeld verborgen wordt in een willekeurig ander beeld) .
d. Afschrikking
De vierde vorm van actieve beveiliging is de strategie van afschrikking. Door een solide
cyberwapening op te bouwen probeert men potentiële en actuele vijandige staten ervan te
weerhouden om een cyberaanval te lanceren. Als vijandige staten ervan overtuigd zijn dat de
vergelding middels een second strike henzelf meer schade zal berokkenen dan de winst die met
een cyberaanval behaald kan worden, dan zullen zij deze aanval niet inzetten.
Wanneer men als verdediger zelf sterk bewapend is, moet een aanvaller rekening houden met
aanzienlijke verliezen. Als het te verwachten tegenoffensief van een verdediger voldoende
groot is, dan is het voor een aanvaller niet meer rendabel om aan te vallen. Een verdediger kan
dus met offensieve tegenmaatregelen het gedrag van aanvallers sturen en zich op die manier
actief tegen aanvallen beschermen.
Maar hoe doe je dat in het digitale domein? Afschrikken doe je met internationale
rechtsafspraken en met forensisch onderzoek naar digitale sporen. Op die manier wordt de
aanvaller identificeerbaar gemaakt en kan gerichte vergelding plaats vinden.
In cyberspace kunnen vaardige cybewcriminelen dus nooit met voldoende zekerheid worden
geïdentificeerd. Afschrikking is alleen maar effectief wanneer een directe vergelding mogelijk
is. Vergelding met een second strike veronderstelt echter dat men precies weet wie er
verantwoordelijk is voor de first strike. Wanneer het onmogelijk is om de cybercrimineel te
identificeren, ondergraaft dit de afschrikkende werking van een superieure aanvalscapaciteiten.
Op dit attributieprobleem zullen we nog regelmatig terugkomen.
We hebben gezien wat de mogelijkheden en beperkingen zijn van zowel actieve als passieve
beveiligingsmaatregelen en verdedigingsstrategieën. Elk afzonderlijk zijn deze maatregelen en
strategieën niet effectief tegenover professionele en hooggeorganiseerde aanvallen van een
militaire cybereenheid. Maar als actieve en passieve verdedigingsmaatregelen synergetisch
samenwerken kunnen zij elkaar versterken.

Cybercriminelen
Wat doen cybercriminelen?

Voor oplichters, fraudeurs, bedriegers en dieven is internet en mobiele communicatie een
walhalla. Er zijn veel kwetsbare websites en nog veel meer onbeschermde mobieltjes waarop
een enorme hoeveelheid onbeschermde gegevens te vinden is. Cybercriminelen proberen
zichzelf met behulp van internet en mobiele communicatie te verrijken en verdedigen zich
daarmee ook tegen justiti�le en politi�le vervolging.
In het digitale domein zijn er meerdere actoren die inbreken in computersystemen en -

netwerken: individuele hobbyistische hackers, bedrijfsspionnen, syndicaten van criminele
hackers (crackers), internationaal conspirerende terroristen en natie-staten. De leiders in het
cybercriminele circuit zijn goed georganiseerde beroepscriminelen die over zeer omvangrijke
hulpbronnen beschikken.
Kwalificatie van cybercriminelen

Wie een cyberdelict wil begaan moet in staat zin om:
veiligheidszwaktes te detecteren in lukratieve computersystemen en
communicatienetwerken;

aanvalspatronen en tactieken te ontwikkelen die de verdediging van winstgevende

doelwitten kan ontregelen, degraderen of vernietigen.
veiligheidsrisico’s in de eigen computersystemen en netwerken te analyseren en om deze
risico’s te minimaliseren;
de eigen infrastructuren zowel passief, proactief als dynamisch te verdedigen tegenover
aanvallen van justiti�le en politi�le instanties en tegenover andere cybercriminele bendes;
Om al deze activiteiten te verrichten hebben

cybercriminelen een hoog kennisniveau nodig
van de structuur en werking van
computersystemen en netwerken. Naast inzicht
in de eigenaardigheden van het digitale domein
zijn technische en tactische vaardigheden
nodig op het gebied van programmering,
systeembeheer, computerveiligheid en -
beveiliging. Het meest ideaal is een combinatie van wetenschappelijke expertise op het gebied
van computernetwerken en praktische vaardigheden uit de sfeer van het offensieve hacken.
Kennis van hacking technieken en vaardigheden om deze toe te passen behoren tot de
basiskwalificatie van elke cybermilitair. Daartoe behoren in ieder geval:
scannen van kwetsbaarheden (vulnerability scanning);

kraken van wachtwoorden (password cracking);
besnuffelen van datapakketten (packet sniffer);
verzamelen van informatie over systeem- en netwerkgebruikers (tracking cookies);
maskeren van hengelpraktijken en het manipuleren van identiteiten (phishing, pharming,
url-spoofing en backdoors);
analyseren en maken van kwaadaardige en/of schadelijke software: virussen, wormen en
Trojaanse paarden (malware en spyware);
aftappen van toetsaanslagen (keystroke logging);
destabiliseren van besturingssystemen (rootkit);
injecteren van een database met een extra SQL-verzoek waardoor de inhoud van de
database kan worden aangepast of extra informatie uit de database kan worden opgehaald
(SQL injection);
verwerven van inside information door omkoping of afpersing (social engineering en spear
phishing);
opsporen en verwijderen van malware infecties (virus scanners, security scans en firewalls).

De sleutel voor de opbouw van zo’n criminele bende is niet het rekruteren van amateurhackers
of digitale vandalen, maar het inhuren van professionele hackers.
Hackers bieden helpende hand

De Nederlandse hackersgemeenschap maakt zich zorgen De Verenigde Nederlandse hackerspaces en -
over de beveiliging van ICT-systemen van de Nederlandse organisaties bestaat uit diverse hackersclubs en
overheid. Een 11-tal hackersclubs heeft zich verenigd en -organisaties: Hack42 (Arnhem), ACKspace
bood op 15 september 2011 in een brandbrief aan de vaste (Heerlen), TkkrLab (Enschede), Bitlair
Kamercommissie Binnenlandse Zaken haar kennis en kunde (Amersfoort), Revelation Space (Den Haag),
aan. De aanleiding hiervoor was het falen van de beveiliging Randomdata (Utrecht), Frack (Leeuwarden),
van belangrijke overheidssystemen zoals DigiNotar, de SSL- Sk1llz (Almere), Stichting eth0, 2600nl.net en
certificaten, de OV-chipkaart en het elektronisch Stichting HXX.
patiëntendossier (EPD). In hun gemeenschappelijke
verklaring zeggen de hackers:
“Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast en een blind
vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn
papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen
van bijvoorbeeld de ontwikkelaars. Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven
ingehuurd door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van databanken
met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet nagedacht over mogelijk misbruik van
nieuwe systemen” [Brandbrief].
Hackers die dergelijke fouten ontdekken, durven dat vaak niet te melden omdat zij de kans lopen zelf in de
beklaagdenbank te belanden. De hackers wijzen erop dat er “momenteel een klimaat heerst waarin de
boodschapper wordt gestraft.”
Sommige instellingen beschouwen het testen van systeemveiligheid en de (ontbrekende) bescherming van
persoonsgegevens als iets dat strafbaar is of zou moeten zijn. Maar steeds meer parlementsleden zijn er
inmiddels van overtuigd dat hackers dezelfde bescherming verdienen als klokkenluiders (mensen die
ongeautoriseerd geclassificeerde informatie lekken).
Voor een succesvolle cybercrime moet men een nauwkeurig beeld (footprinting) hebben van de
doelwitten die moeten worden bestolen. Daarom maken cybercriminelen gebruik van spyware
om heimelijk informatie in te winnen over hun potentiële slachtoffers.
Organisatie: coördinatie en leiding

De criminele organisatie van cybercapaciteiten is zeer complex. Om die capaciteiten effectief in
te zetten voor een criminele operatie moet aan minstens die voorwaarden worden voldaan:
alle deelnemers aan de criminele operatie moeten voldoende deskundig en behendig zijn om
hun deeltaak te verrichten;
zij moeten voldoende zijn uitgerust met materi�le, financi�le en personele middelen;
zij moeten op de juiste wijze worden georganiseerd, aangestuurd en gecorrigeerd.
De slagkracht van een criminele cybereenheid is in belangrijke mate afhankelijk van (i) de
planmatige coördinatie van mensen met zeer uiteenlopende —technische, operationele,
tactische, strategische— vaardigheden, en van (ii) de aansturing van deze cybereenheid en

subeenheden.
Tactiek en strategie: cybercrimineel denken

Het doel van cybercriminelen is meestal zeer eenduidig: illegale zelfverrijking. Maar dat doel
wordt vaak niet direct of via een enkelvoudig delict gerealiseerd.
De doelen van cybercriminele operaties zijn meestal niet eenvoudig of enkelvoudig. Er wordt
gewerkt met samengestelde doelen die niet met één stap of in één keer gerealiseerd kunnen
worden. Cybercriminele operaties bestaan vaak uit een complexe hoeveelheid stappen die in
een bepaalde volgorde en volgens een bepaald tijdsschema moeten worden gepland en
georganiseerd.
Dit vereist een strategische manier van denken om zo’n cybercrime te realiseren. Leiders van
cybercriminele bendes moeten in staat zijn om op behendige wijze minstens vijf activiteiten te
combineren:
afbakenen van de afzonderlijke clusters van activiteiten (stappen, etappes) waarin een
criminele operatie wordt uitgevoerd;
bepalen van de volgorde waarin die stappen worden uitgevoerd;
vaststellen van tijdschema volgens welke deze stappen moeten worden uitgevoerd om de
operaties temporeel met elkaar te coördineren;
rekening houden met de interactie-effecten tussen de afzonderlijke stappen en fasen van de
gehele operatie;
flexibel reageren op wijzigingen in het strategisch-tactische veld: slachtoffers en
rechtshandhavers zitten ook niet stil. Met hun reacties en tegenmaatregelen modificeren zij
de structuur en dynamiek van het strijdperk.
Dit zijn geen activiteiten die men aan technisch specialisten of programmeurs kan overlaten,
omdat ze een strategisch-tactische of militaire wijze van denken vereisen, waarin strategie,
tactiek en operationele actie systematisch met elkaar verbonden worden. Om ingewikkelde en
uiteenlopende wapensystemen op de juiste wijze in te zetten en te combineren zijn goed
geschoolde militairen nodig. Militairen die vertrouwd zijn met de praktijk van strategische,
tactische en operationele valkuilen en dilemma’s. Militairen die niet alleen rekening houden met
alle eigenaardigheden van het cybermilitaire front, maar ook met de conflictueueze afstemming
op politiek gedefinieerde opties, straf- en staatsrechtelijke condities en volkenrechtelijke
beperkingen. Net als bij alle andere militaire strijddomeinen zijn de risico’s op het cyberdomein
zeer groot. Ook bij cybermilitaire operaties gaat het uiteindelijk altijd om mensenlevens. Bij
confrontaties in cyberspace is het nog veel lastiger om bij de eigen operaties een duidelijk

onderscheid te maken tussen militaire doelen en burgerdoelen, en tussen combattanten en

non-combattanten.
Risico-analyse
De traditionele manier om een veiligheidsrisico te bepalen bestaat uit drie elementen: actor, intentie en
capaciteiten. In de virtuele wereld zijn deze elementen uitermate lastig te bepalen.
Ten eerste is er meestal geen duidelijk identificeerbare actor die als mogelijke vijand kan worden aangemerkt.
Cyberaanvallers kunnen buitenlandse overheidsinstellingen zijn (veiligheidsdiensten, strijdkrachten), maar ook
verveelde teenagers die zich vermaken met joyriding op het internet, hackers die op eigen gezag testen hoe
sterk de beveiliging van ICT-systemen is, criminelen die op zoek zijn naar buit, terroristen die met een
spectaculaire cyberaanslag paniek willen zaaien, ondernemers die proberen bedrijfsgeheimen van hun
concurrenten te stelen, of ontevreden insiders die hun gram willen halen bij de organisatie waar zij zojuist
ontslagen zijn.
Ten tweede is het moeilijk om betrouwbare informatie te krijgen over de vijandige intenties van de
(mogelijke) aanvaller. Wat beoogt een aanvaller? Wordt er een heel land aangevallen of wordt alleen de
robuustheid van computersystemen en netwerken getest? Wordt er aangevallen om economisch voordeel te
behalen, of slechts om geld te roven? Is het een eenmalige actie, of is de aanval het begin van een
omvangrijke cybercampagne?
Ten derde is het lastig om vast te stellen of de mogelijke vijand beschikt over de capaciteiten om een
grootsschalige cyberaanval te plegen op een hele natie. Over hoeveel manschappen, tanks en raketten een
vijand beschikt, laat zich nog relatief eenvoudig tellen. Cyberwapens zijn veel lastiger te identificeren en te
kwantificeren. We weten wel dat alle natiestaten beschikken over hoogwaardige informatie- en
communicatietechnologieën en dat de instrumenten voor cyberaanvallen gemakkelijk verkregen —en
verborgen— kunnen worden.
De logica van cybercriminaliteit brengt dus veel meer onzekerheden met zich mee dan bij conventionele
misdaad. Het maken van een goed risico-analyse is daarom ook veel lastiger.
Social engineering: de kunst van de misleiding
Plus ça change, plus c’est la même chose.
De zwakste schakel
Beveiligingsprogramma’s kunnen nog zo geavanceerd zijn en alle penetratietests hebben
doorstaan, toch is de veiligheid van de communicatie binnen een organisatie nooit sterker dan
haar zwakste schakel. Meestal is dit een personeelslid dat slordig met wachtwoorden omgaat,
veiligheidsprocedures niet in acht neemt, of zich gemakkelijk laat verleiden of omkopen om
geheime of vitale informatie prijs te geven.
Niet hackers, maar nalatige werknemers zijn verantwoordelijk voor de meeste datalekken bij bedrijven. Dit
was de conclusie van een onderzoek van het Ponemon Istitute (febr. 2013) onder meer dan 3.500 ict-ers in
acht landen.
Typen datalekken
Nalatige werknemer of aannemer 47%
Systeemfouten en ander hardwarematige storingen 32%
Externe aanvallen 24%
Fouten of nalatigheid van derden 23%
Kwaadwillend personeel 14%
Bij de niet kwaadaardige datalekken gaat het meestal om datadragers die niet goed gewist zijn, of om

apparaten die werknemers zijn verloren.
De geautomatiseerde digitale spionagetechnieken zijn steeds verfijnder, krachtiger en

effectiever. Maar heel vaak kan vertrouwelijke of geheime informatie alleen worden verkregen
door criminelen die de kunst van de misleiding verstaan. Zij moeten een speciale rol spelen,
geloofwaardigheid opbouwen en gebruik maken van vertrouwensrelaties en van wederzijdse
verplichtingen [Mitnick/Simon 2005:232; Erlanger 2011]. Ze moeten op een manipulatieve en
misleidende manier gebruik maken van vertrouwen. Zij moeten de kunst van de misleiding
(Kevin Mitnick) beheersen.
Social engineering is de kunst om mensen iets te laten doen wat jij wilt, zonder dat ze het zelf
door hebben. Het doel is om vertrouwelijke of geheime informatie van mensen los te krijgen
waardoor de cybercrimineel dichter bij zijn doelwit kan komen. Er wordt dus geen directe
aanval op de techniek zelf (de computers, software en netwerken) uitgevoerd. Het is een
indirecte methode waarbij via het één (de te misleiden persoon) iets anders bereikt (toegang
tot een computersysteem of netwerk). De cybercriminelen gaan niet direct af op de
kwetsbaarheden van de firewall, maar op de menselijke kwetsbaarheden van individuen.
Toegepaste sociale wetenschap

Social Engineering is een vorm van toegepaste sociale wetenschap. In
het beveiligingscircuit wordt daarmee bedoeld het benutten van
menselijke eigenschappen zoals hulpbereidheid, klantvriendelijkheid,
dankbaarheid, behoefte aan erkenning, geldingsdrang,
machtsstreven, carrièredenken, materiële reden, winstzucht,
levensstijl, ideële factoren, onwetendheid, goedgelovigheid en
naïviteit. Maar het gaat ook om het exploiteren van arbeidstrots,
respect voor autoriteiten, omkoopbaarheid, neiging tot
conflictvermijding, behoefte aan liefde en de wens om een goede
teamspeler te zijn.
Het doel daarbij is altijd de heimelijke en/of illegale vergaring van

informatie. Social engineering is een efficiënte methode van
bedrijfsspionage zonder dat men daarvoor technische hulpmiddelen
nodig heeft. De aanvaller oefent geen dwang uit op het slachtoffer en
het slachtoffer heeft de illusie van volledige controle en vrijwilligheid.
Een van de eenvoudigste trucs van een cybercrimineel is impersonatie: het zich voor iemand anders uitgeven
dan wie men is. Met die gespeelde rol bouwt de crimineel vertrouwen op met het doelwit. Als het personage
goed is geconstrueerd — toegespitst op ambities, gevoeligheden, ijdelheden, zwakheden etc. van het doelwit
— dan is het meestal niet moeilijk om vertrouwen te winnen.
Via virtuele sociale netwerken kunnen vertrouwensrelaties worden gecreëerd en gemanipuleerd. @@@
UITWERKEN
Methodieken van sociale misleiding

Sociale misleiding (‘social engineering’) kent vier basismethodieken.

a. Persoonlijk contact - Impersonatie

Een aanvaller legt persoonlijk contact met het slachtoffer. Hij doet zich voor als iemand
anders en belt het doelwit met het verzoek om zijn gebruikersnaam en wachtwoord door te
geven om een urgent probleem te verhelpen. Vooraf aan dit contact verzamelt de hacker
informatie over het slachtoffer zodat hij een verhaal kan vertellen dat voor het slachtoffer
overtuigend is. Om die informatie te vergaren worden zoekmachines als Google, sociale
netwerksites als Facebook en andere online informatiebronnen gebruikt.
Het is een eenvoudige en effectieve techniek. De aanvaller doet zich voor als
systeembeheerder, een bekende collega, een gezaghebbende leidinggevende of een goede
klant. Uit onderzoek blijkt dat zeer veel personeelsleden hun wachtwoord geven aan iemand
die zich voordoet als een medewerker van de it-afdeling. Via de aangenomen
vertrouwenwekkende rol van insider probeert de aanvaller informatie te verkrijgen van zijn
slachtoffer die op een andere manier niet of met aanzienlijk meer inspanning of hogere
kosten te krijgen is.
Bij slachtoffers wordt eerst vertrouwen gewonnen (geloofwaardigheid), nieuwsgierigheid

geprikkeld, medelijden opgewekt. Zij worden geïntimideerd of bang gemaakt (angst
inboezemen). Vervolgens wordt om een bepaalde handeling te verrichten of informatie af te
staan die eigenlijk niet gegeven mag worden. Door een behendige en op de persoon
toegespitste combinatie van verleiding, misleiding en intimidatie krijgt het slachtoffer het
gevoel dat hij geen anders keuze heeft dan te doen wat er gevraagd wordt. Zelfs
werknemers met een hoog beveiligingsbewustzijn worden slachtoffer van dergelijke
aanvallen, ook al worden zij van te voren gewaarschuwd voor specifieke bedreigingen.
b. Lokmails - Phishing
Om gevoelige informatie te verwerven versturen De kunst van het misleiden
Een simpele maar vaak doeltreffende methode
cybercriminelen e-mails met een tekst die de
is om een personeelslid te vragen om een
belangstelling of nieuwsgierigheid van het zogenaamd naar de verkeerde afdeling
verzonden geheim document door te sturen
slachtoffer wekt en die afkomstig lijkt te zijn van
naar een andere afdeling. De lokmail is zo
een betrouwbare bron. Er wordt grootschalig ingericht dat de crimineel het document
gehengeld naar vertrouwelijke informatie die ontvangt. In het boek van Kevin Mitnick, De
kunst van het misleiden worden tal van
criminelen kunnen gebruiken om hun slag te slaan. dergelijke trucs beschreven.
Deze hengeltechniek wordt phishing genoemd.
Potentiële slachtoffers worden met een lokmail verleid om op een authentiek ogende site
vertrouwelijke gegevens zoals wachtwoorden, pincodes en creditcardnummers op te geven.
Een vertrouwenwekkend, prikkelend of bangmakend lokmailtje moedigt gebruikers aan om

iets te doen waardoor ongemerkt een remote access tool (RAT) op hun computer wordt
geïnstalleerd. Daarmee kan de aanvaller de besmette computer controleren en voor eigen
doeleinden gebruiken, zoals het versturen van spam of het stelen van geheime informatie.
In lokmails worden worden ontvangers aangemoedigd om op een hyperlink te klikken of een

bijlage te openen. Bij de doelwitten wordt onbewust gedrag gestimuleerd waardoor zij doen
wat de hacker wil. Dit gebeurt bijvoorbeeld met lokmails waarin staat: “Wij danken u voor
uw bestelling. Wij zullen hiervoor 300 euro van uw rekening afschrijven. Ga voor meer
informatie naar onze website.” Het idee dat er geld van je rekening wordt afgeschreven
terwijl je weet dat je niets hebt besteld, stimuleert een emotionele reactie om direct op de
hyperlink te klikken. Eind 2011 slipte een dergelijke mail door de firewall van het ministerie
van Defensie [Broos/Vogelaar/Van Fennema 2012:230].
c. Rondsnuffelen - Dumpster diving

Cyberspionnen vergaren vertrouwelijke informatie door rond te snuffelen in vuilnisbakken,
containers en prullenbakken of door rond te neuzen bij printers en kopieermachines waar
wel eens vertrouwelijke documenten rondslingeren. Onbewaakte of weggegooide cd-roms
en USB-sticks kunnen een schat aan informatie opleveren. Soms moet de spion daarvoor
insluipen in het gebouw waar die vertrouwelijke gegevens te vinden zijn. Maar vaak is zelfs
dat niet nodig als er computers, laptops of harde schijven bij het vuil worden gedumpt
zonder dat ze goed zijn schoongeveegd.
Afvalsnuffelaars
Civielrechtelijk gezien wordt meestal aangenomen dat deze vorm van afvalinzameling toegestaan is: de
eigenaren hebben immers afstand van gedaan van de zaken in de vuilnisbak. In Italië is het snuffelen in
afval sinds 2000 legaal. Sommige juristenn stellen echter dat de zaken die bij het vuilnis zijn gezet nog
steeds het eigendom van de oorspronkelijke eigenaar zijn, tot en met het ophalen van het vuilnis. Daarna
wordt het afvalverwerkingsbedrijf houder voor de eigenaar, met de opdracht voor hergebruik of
vernietiging zorg te dragen. Dit geldt in het bijzonder voor vuilniscontainers die zich op prié-terrein
bevinden, waarvan het betreden door derden niet is toegestaan.
Bestuursrechtelijk kan dumpster diving of skipping door de (lokale) overheid verboden worden. In veel
Nederlandse gemeenten is dit het geval (zie bijvoorbeeld de Afvalstoffenverordening van de gemeente
Haarlemmermeer van 2006 — art. 36.1). Tenzij men over een speciale vergunning (Morgenstervergunning)
beschikt. Zo’n bepaling is opgenomen in de model-APV van de Vereniging van Nederlandse Gemeenten
(VNG).
d. Wacht ze op bij de drinkplaats — Watering hole sites

In criminele campagnes wordt steeds meer gebruik gemaakt
van aanvalsstrategie watering hole wordt genoemd of drive-
by downloads. Daarbij wordt eerst in kaart gebracht welke
websites regelmatig bezocht worden door de leden van een

specifieke doelgroep (organisatie, bedrijf, regio etc.). Nadat

deze websites op kwetsbaarheden zijn getest worden een of
meer van de slecht beschermde sites besmet met malware.
Zo’n site wordt van iframes voorzien die de bezoekers
doorsturen naar servers waarop een beveiligingslek in de
browser of in een plug-in / extension wordt geëxploiteerd
(Oracles Java, Adobes Flash & Acrobat). Uiteindelijk wordt er
zo altijd wel een lid van de doelgroep ge�nfecteerd.
Bij een drinkplaats-aanval wordt een populaire website

Cybercrimineel ligt als een leeuw
gecompromitteerd die door een groep potentiële slachtoffers te wachten bij de drinkplaats tot
de volgende slachtoffers arriveren.
uit zichzelf al wordt bezocht. Juist omdat deze website door
de leden van de doelgroep wordt vertrouwd, is deze
aanvalsstrategie zo effici�nt. Ze is zeer geschikt voor groepen die resistent zijn voor
verschillende vormen van hengelen. Hengelen met lokmails wordt steeds meer vervangen
door een drinkplaatsaanval [Net-Security, 26.9.12 en 24.1.13; Krebsonline, 12.9.12;
Networkworld, 9.10.12; Security Affairs, 31.12.12; Malwageddon, 14.10.13].
Soms is bij drinkplaatsaanvallen de ge�nstalleerde malware op de webpagina beschikbaar

als een verzameling bytes die via XOR zijn verspleuteld. Wanneer de exploitatie succesvol
is, dan wordt er naar een speciale marker in het geheugen gezocht. Zodra deze marker
wordt gevonden, wordt de lijst met bytes ontsleuteld en blijft er een binair bestand over.
Deze malware wordt vervolgens op het systeem uitgevoerd [Websense, 12.3.13;
Security.nl, 13.3.13; ThreatPost, 11.11.13].
Hengelen: ongericht en gericht

Titel XXV:Bedrog - Art. 326: Oplichting
“Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het
aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij
door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het ter
beschikking stellen van gegevens met geldswaarde in het handelsverkeer, tot het aangaan van een
schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met
gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.”
Titel XXV: Bedrog - Art. 326c: Listiglijk gebruik maken van telecommunicatiedienst
“Hij die, met het oogmerk daarvoor niet volledig te betalen, door een technische ingreep of met behulp
van valse signalen, gebruik maakt van een dienst die via telecommunicatie aan het publiek wordt
aangeboden, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde
categorie” [Wetboek van Strafrecht].
De grootste risicofactor voor de computernetwerken van bedrijven en instellingen zijn de

mensen, de personeelsleden. Veel cyberdelicten zijn gebaseerd op of beginnen bij het

manipuleren en misleiden van werknemers van de doelorganisatie. Via lokmails en contacten

op hun sociale netwerken worden zij in de luren gelegd om kwaadwillende indringers toegang
te bieden tot het computernetwerk van hun bedrijf of instelling.
Misleiding kan gericht zijn op bepaalde personen of leden van

organisaties, of ongericht op grotere populaties. Hengelen
(‘Phishing’) is een ongerichte poging tot misleiding: grote
groepen mensen ontvangen lokmails waarin gevraagd wordt
om op een link te klikken of om informatie te geven over
wachtwoorden of nummers van creditcards en
bankrekeningen [Norton]. Men vist met een net met grote
mazen. Het net wordt uitgegooid in de hoop dat er vissen zijn
die in dat net verstrikt raken. Bij een cybercriminele aanval op
Hengelen is het zoeken naar
willekeurige slachtoffers.
een bedrijfsnetwerk worden ongericht alle werknemers door
met lokmails benaderd om wachtwoorden af te staan of op bijlagen te klikken met schijnbaar
bedrijfsinterne documenten of grappige afbeeldingen. De aanval kan ook worden gericht op alle
gebruikers van een online dienst, zoals klanten van banken, webwinkels of van grote
internetbedrijven.
Bij hengelpraktijken worden vaak bekende merken (Apple, PayPal, Amazon, e-Bay) ge�miteerd
om de ontvangers van de lokmail te verleiden om een actie te ondernemen.
Voorbeeld van crimineel hengelen

In 2014 ontvingen Apple-gebruikers een e-mail die afkomstig leek te zijn van Apple. Daarin stond dat de
Apple/iCloud account tijdelijk geblokkeerd en wordt gevraagd de gegevens te verifi�ren. De e-mails zien er op
het eerste gezicht zeer realistisch uit.
Om de Apple account gegevens te verifi�ren moet er op een link worden geklikt. Als je op die link klikt wordt
je doorgestuurd naar een internetadres waarvan de url niet begint met Apple.com. Op die manier proberen
cybercriminelen persoonsgegevens waaronder creditcardgegevens van argeloze Apple-klanten te stelen.
Hengelvarianten: pharming, smishing & vishing

Om verschillende communicatietechnologi�n te benutten zijn er een aantal hengelvarianten ontwikkeld. Zij
bereiken hun slachtoffers via geautomatiseerde redirects naar een nepsite (pharming), SMS (smishing) of
telefoon of VoIP (vishing).
Het slachtoffer ontvangt op de mobiele telefoon een SMS/MMS of een ingesproken bericht met de mededeling
dat er iets met zijn/haar bankrekening aan de hand is. Om dit probleem te op te lossen wordt het slachtoffer
gevraagd een telefoonnummer te bellen of in te loggen op een website. Vervolgens wordt gevraagd om wat
informatie te geven om de identiteit te controleren: bankrekeningnummer, PIN, creditcard nummer etc.
Gewapend met deze informatie kunnen de cybercriminelen de bankrekening van hun slachtoffers leeg halen of
aankopen doen met hun creditcards. Soms wordt ook de mobiele telefoon van het slachtoffer besmet met
kwaadaardige software die de criminelen volledige toegang tot de telefoon biedt. Door de toename van mobiel
bankieren en online financi�le transacties worden smishing en vishing steeds attractiever en lucratiever voor
cybercriminelen.

De cybercriminelen maken gebruik van een automatisch belsysteem om mensen in een bepaalde regio of
postcodegebied berichten te sturen. Soms gebruiken zij gestolen telefoonnummers van klanten van banken of
kredietinstellingen.
Geavanceerd hengelen
De basistechniek van hengelen is telkens dezelfde: er wordt gehengeld naar gevoelige informatie met lokmails
die van een betrouwbare bron lijken te komen waarbij de bijlage met malware is besmet of met links naar
websites die met malware zijn ge�nfecteerd.
Bij geavanceerde hengelpraktijken wordt na opening van de bijlage of bezoek van de criminele website een
proces in werking gezet dat door beveiligingssoftware nauwelijks geblokkeerd kan worden. De malware voert
eerst een paar controles uit voordat het zichzelf lanceert. De malware begint in een status van ‘infinite sleep’.
Op dit manier wordt gecontroleerd of de lokale schijf een virtuele machine is. Dit kan er op wijzen dat het in
een zandbak, teerput of honeypot is beland. Als dit het geval is, zal de malware inactief blijven. Bovendien is
de code in staat om zichzelf modificeren. De malware ontcijfert haar eigen code in real time en overschrijft
instructies om statische analyse door beveiligingssoftware af te weren. Als al deze en andere controles zijn
uitgevoerd, wordt de malware wakker en pakt zichzelf uit via meerdere lagen van encryptie en compressie.
Zodra de kwaadaardige code begint te draaien infecteert het zichzelf diep in een van de besturingsbestanden.
Vervolgens wordt er automatisch nog andere malware gedownload [McAfee 2014:10].
Speervissen (Spearphishing) is een doelgerichte,

gepersonaliseerde vorm van hengelen. De aanval richt zich
op een klein aantal zorgvuldig geselecteerde lucratieve
doelwitten (high value targets). Het zijn doelwitten die
worden uitgekozen (targets of choice) omdat ze over
informatie of andere bronnen beschikken waarin de
cybercriminelen zijn geïnteresseerd. Meestal zijn dit mensen die goed geïnformeerd zijn over
de architectuur van het informatiesysteem. Door wat te grasduinen in LinkedIn en Facebook is
vaak al snel te achterhalen wie er bij een bepaalde bedrijfsafdeling werkt waar de gewenste
informatie zich bevindt [Webwereld, 5.8.12].
Voor criminelen is het veel gemakkelijker om informatie te vergaren over hun doelwitten: waar
werken zij, wat zijn hun interesses en hobbies, wat zijn hun vrienden, welke mensen,
organisaties of websites vertrouwen zij? Via digitale media en vooral de sociale digitale media,
kan deze informatie zeer snel en zonder dat het doelwit het merkt, worden verzameld.
In 2014 testte McAfee het vermogen van zakelijke gebruikers om hengelpraktijken te

herkennen. Daaruit bleek dat 80% van alle 16.000 proefpersonen faalde voor de test in
tenminste een van de zeven lokmails. Bovendien bleek dat de afdelingen waarin de meest
gevoelige bedrijfsgegevens circuleren —accounting, financi�n en Human Resources— het
slechts presteerden [McAffee 2014:13].
Speervissers gebruiken op maat gesneden lokmails om de ontvanger te verleiden om gevoelige

informatie zoals wachtwoorden te ontfutselen of om te klikken op een bijlage of op een nep-url
die hen naar websites brengt die door de aanvallers zijn ingericht (de ‘drinkplaats’ waar de

code-injectie plaats vindt). Slechts één verkeerde klik is nodig om een virus, worm of Trojaans
paard te downloaden of andere malware waardoor achterdeurtjes worden geopend die door
indringers worden gebruikt om verder in het doelnetwerk binnen te dringen en gevoelige
informatie te stelen. Aanvallen van speervissers kunnen maanden duren zonder dat de
doelwitten enig idee hebben wat er aan de hand is. Als de aanval uiteindelijk toch worden
ontdekt, dan is het erg moeilijk om vast te stellen wat de omvang is van de schade.
Snoepgoed en relatiegeschenken
Cybercriminelen gebruiken in principe alle middelen om informatie los te krijgen van hun doelwitten of om hen
te verleiden handelingen te verrichten die de geheimen van hun organisatie in gevaar brengen. Inspelend op
de nieuwsgierigheid van mensen wordt bijvoorbeeld een besmette usb-stick, laptop of tablet achtergelaten op
een plaats die door het doelwit gemakkelijk gevonden zal worden. Uiteindelijk wordt zo’n apparaat vaak
verbonden met het informatiesysteem waarin de crimineel wil inbreken. De usb-stick, laptop of tablet zijn
snoepgoed dat men bewust in de nabijheid van een kind laat slingeren. Hackers noemen het daarom een
candy drop.
Het is gebruikelijk dat zakenmensen die beurzen bezoeken relatiegeschenken krijgen aangeboden. Vaak zijn
dat usb-sticks. Cyberspionnen maken van deze gewoonte gebruik om besmette usb-sticks uit te delen
waarmee zij toegang te krijgen tot bedrijfsgeheimen. In een uitgelekt rapport van de Britse geheime dienst
MI5 wordt geschetst hoe Chinese inlichtingendiensten door het uitdelen van usb-sticks of digitale camera’s
Trojaanse paarden verspreiden die hen toegang gaven tot de computer van de gebruiker [Sunday Times,
31.1.10; Trouw, 31.1.10].
Doelgerichte aanvallen zijn moeilijk om af te slaan en kunnen grote schade aanrichten. Het
volume van de speervisaanval is klein omdat deze gericht is op specifieke personen of een
relatief beperkte groep. Speervissers maken meestal over een langere periode gebruik van
dezelfde malware om de beoogde informatie binnen te krijgen. Daarom zijn speervisaanvallen
weliswaar duurder, maar ze zijn ook lucratiever.
Het hengelen naar waardevolle digitale bronnen heeft zich in de loop der jaren steeds verder
ontwikkeld en geprofessionaliseerd. De evolutie van deze vorm van cybercriminaliteit staat nog
in haar kinderschoenen. Er zijn inmiddels wel technologische middelen beschikbaar om
speervissen te bestrijden [Contos 2011]. Maar zelfs de beste technologie faalt als ze niet wordt
aangevuld door best practices van beveiliging.
No one best way...

Er is niet één product dat je kunt gebruiken om speervissen te voorkomen, gevoelige informatie te
beschermen, malware af te stoten en kwaadaardige intrusies te stoppen. Er zijn diverse oplossingen die
tegelijkertijd gebruikt zouden moeten worden.
a. Eindpunt controle: een combinatie van technieken zoals blacklisting en dynamische whitelisting om
bekende en onbekende malware buiten de deur te houden;
b. Netwerk controle: gericht op het detecteren van APT’s — Advanced Persistent Threats [McAfee];
detecteren en elimineren van kwaadaardige attachments met geavanceerde antimalware; implementeren
van verificatiemechanisme voor identiteit van afzender;
c. Data controle: systemen die potentiële inbreuk op data tijdig melden en voorkomen [Data Loss

Prevention], en
d. Management controle: het verspreiden van reputationele informatie zodat kwaadaardige IP’s, URL’s, e-
mails, bestanden etc geïdentificeerd en geblokkeerd kunnen worden voordat ze het netwerk binnendingen.
De meest voor de hand liggende maatregelen voor beveiliging tegen speervissen en andere
vormen van persoonsgerichte cybercriminaliteit liggen op het vlak van opleiding, beleid en
reactieplan.
Opleiding
In de opleiding moeten personeelsleden leren hoe Diepe onwetendheid
“Een van de belangrijkste oorzaken van het
tactieken van speervissen werken. Door
succes van cybercrim is (...) de diepe
praktische speervisoefeningen kunnen zij ervaren onwetendheid van de meeste computer-
gebruikers. Deze onwetendheid wordt mede
hoe makkelijk ze zelf voor de gek gehouden
veroorzaakt door een onderwijssysteem dat op
kunnen worden (kijk in de spiegel). Via trainingen trucjes traint in plaats van dat het mensen echt
kunnen werknemers oneigenlijk gebruik van inzicht biedt. Het 'computerrijbewijs' is gewoon
een cursus MS-Windows & MS-Office en geeft
informatie- en communicatiesystemen beter leren geen enkel inzicht in wat een computer doet of
herkennen. Voor slimme criminele speervissers is hoe netwerken functioneren. Niet dat iedereen
tot systeemprogrammeur hoeft te worden
het gemakkelijk om een e-mail adres of een URL opgeleid, maar en set minimale inzichten (zoals
te laten lijken op een legitiem domein. Zelfs als je het kunnen 'lezen' van een URL) zou al veel
leed kunnen voorkomen.” [Arken Kamphuis, in:
er zeker van bent dat de e-mail die je ontvangt Webwereld, 15.3.12].
daadwerkelijk door een collega is verstuurd, dan
is er altijd nog een kans dat deze een kwaadaardige link of download bevat, zonder dat die
collega daar weet van heeft. Ze moeten leren welke maatregelen er genomen moeten
worden als vermoed wordt dat ze het doelwit van speervissers zijn. Al deze activiteiten zijn
gericht op het verhogen van het beveiligingsbewustzijn (security awareness).
Beleid
Maak in eigen beleid duidelijk dat er door directies, leidinggevenden, hulpdiensten of
systeembeheerders nooit gebruikersnamen, wachtwoorden of andere toegangscodes worden
gevraagd via telefoontjes, sms-jes, e-mails of via bijlagen of hyperlinks in e-mails. Voor
telefooncontact kan een uitzondering worden gemaakt wanneer men de beller persoonlijk
kent of een telefoontje kan retourneren op een bekend bedrijfsnummer. Beleidsmatig moet
worden vastgelegd welke typen informatie absoluut nooit via persoonlijk e-mails, sms’jes,
blogs, tweets of andere sociale netwerken verspreid mogen worden.
Reactieplan
Stel een gedetailleerd plan op waarin wordt beschreven hoe er gereageerd moet worden op
een spionage incident en welke specifieke acties er na zo’n incident ondernomen moeten

worden om de omvang van de aanval te bepalen en de schade te beperken. Daarbij hoort

ook een goede registratie van incidenten voor forensische doeleinden.
Chantage en afpersing met ransomware

Met lokmails worden mensen verleid om iets te doen wat zij beter kunnen laten. Maar in plaats
van mensen te verleiden om op een link te klikken of een besmette bijlage te openen, kan dit
ook worden bereikt door te dreigen, bijvoorbeeld met het openbaar maken van vertrouwelijke
of gevoelige informatie. Afpersing met behulp van ransomware komt steeds vaker voor
[SurfRight 2012; McAfee 2012; Telegraaf, 10.3.14; Europol 2014].
Via bijlagen van e-mails, besmette advertenties of een drive-by-download wordt eerst de
computer van het slachtoffer geïnfecteerd met ransomware. De ransomware blokkeert
vervolgens de toegang tot je eigen computer of encrypteert alle bestanden die daar op staan.
Om de computer en haar bestanden te ‘bevrijden’ moet het slachtoffer losgeld betalen. Volgens
Symantec maakt ongeveer 3% van de slachtoffers geld over in de hoop dat zij de controle over
hun computer terugkrijgen en hun bestanden ontsleuteld worden. De kans is echter veel groter
dat cybercriminelen de prijs verhogen dan dat ze je de sleutel sturen.
Het afpersen van personen en instellingen middels Ransomware
ransomware was in 2012 de snelst groeiende methodiek

van cybercriminaliteit. Vooral lagere overheden en het
midden- en kleinbedrijf zijn een aantrekkelijk doelwitten
voor cybercriminele afpersers.
De afpersers maken vaak gebruik van e-mails met CryptoLocker, een programma dat elk
bestand op de computer encrypteert zodra de e-mail wordt geopend. Zelfs eventuele back-up
bestanden worden versleuteld als je opslagapparaat voor deze bestanden met je computer
verbonden was toen CryptoLocker toesloeg. Alle bestanden in een gedeelde netwerkschijf
ondergaan hetzelfde lot. Het is een DOR-aanval: Denial of Resources.
Als de bestanden zijn ge�ncrypteerd krijgt het slachtoffer een popup te zien met het bericht:
“Your personal files are encrypted! Encryption was produced using a unique public key RSA-2048 generated
for the computer. To decrypt files you need to obtain the private key.
Click Here
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the
Internet; the server will destroy the key after a time specified in this window. After that, nobody and never
will be able to restore files.”
Vervolgens wordt $300 ge�ist (of een vergelijkbaar bedrag in een andere valuta) voor de
private key en wordt gewaarschuwd dat “any attempt to remove or damage this software will

lead to the immediate destruction of the private key by the server”.
CryptoLocker maakt gebruik van asymmetrische encryptie die werkt met twee sleutels: de
‘public key’ versleutelt de data met de ‘private key’ kan deze worden ontcijferd. De malware zet
de publieke sleutel op de computer van het slachtoffer, maar de private sleutel wordt
opgeslagen op de commandoserver van de cybercriminelen.
Voor opsporingsdiensten is het lastig om greep te krijgen op de commando en controle server.

Er valt nog wel te achterhalen vanaf welke server de publieke sleutel werd geladen. Maar deze
C&C-server is meestal slechts een van de tussenschakels van een hele serie gekaapte
computers die als proxyserver fungeren. Bovendien wordt de C&C-server zelf permanent
verschoven naar een ander land.
Bijvangst
Bij een gijzeling met ransomware ben je niet langer in staat om je eigen bestanden te openen, lezen of
bekijken. Maar de crimineel met de decrypotiesleutel kan dit wel doen. Cybercriminelen kunnen dus toegang
krijgen tot al je documenten met wachtwoorden en persoonlijke of financi�le informatie, inclusief je foto’s en
video’s. Voor de cyberafperser zijn dit indirecte opbrengsten van de gijzeling, het is bijvangst of nevenbuit.
Eerste digitale afpersing: licentie verlopen

De eerste afpersing met ransomware vond plaats in 1989. Toen schreef dr. Joseph Popp het Trojaanse paard
AIDS (ook wel PC Cyborg genoemd). Het encrypteerde de bestandsnamen op de harde schijf en maakte alle
folders onzichtbaar; het claimde dat de gebruikerslicentie voor een bepaald stukje software verlopen was en
dat de gebruiker hiervoor $189 moest betalen aan de ‘PC Cyborg Corporation’ om het systeem te ontsleutelen.
De zwakte van het Trojaanse paard dat de dokter had gecre�erd was dat de bestandnamen met symmetric
cryptografie waren versleuteld. Toen experts de kwaadaardige code konden analyseren kon de encryptie
eenvoudig ongedaan worden gemaakt en werd ook duidelijk wie de ransomware had gemaakt.
Omdat dr. Popp geestelijk ziek werd verklaard hoefde hij zijn misdaad niet voor de rechter te verantwoorden.
Maar hij beloofde de winst van zijn criminele onderneming te doneren aan onderzoek naar AIDS.
Bij asymmetrische encryptie is reverse-engineering praktisch onmogelijk. In 1996 lieten de twee onderzoekers
Adam Young en Moti Yung voor het eerst zien hoe asymmetrische encryptie gebruikt kon worden in
ransomware [Young/Yung 1996; TechRepublic, 11..1.10].
Betalingsmethoden
Cybercriminelen zijn bang dat zij kunnen worden opgespoord door het spoor dat het betaalde losgeld nalaat.
Soms wordt gevraagd om het losgeld te storten via Western Union. Dan weer wordt ge�ist dat het slachtogger
iets bestelt van een speciale website, die meestal in Rusland draait. Sinds 2009 wordt van het slachtoffer ook
betaling gevraagd in de vorm van het versturen van een premium SMS bericht. Dat is een SMS’je waarvoor de
ontvanger een speciaal tarief betaalt (Premium MT).
Het slachtoffer sms’t een keyword naar een verkort nummer (bijvoorbeeld 3669). Vervolgens ontvangt hij een
SMS-bericht terug van de cybercrimineel. Voor het ontvangen van dat SMS-bericht betaalt hij een bepaald
bedrag dat in rekening wordt gebracht via zijn telefoonrekening. Ideaal voor marketingcampagnes, prijsvragen
en collectes voor goede doelen —maar ook voor cybercriminelen.
Door de opkomst van de smartphones werden premium SMS-berichten een gangbare manier van
monetariseren van mobiele malware . De mobiele malware neemt de controle van de besmette smartphone
over en het beveelt om een bericht te sturen naar een premium sms-nummer, waardoor de daders of hun
geldezels betaald worden via de mobiele provider van het slachtoffer.

Sinds de opkomst van virtueel geld zoals de bitcoin, eisen cyberdaders van hun slachtoffers dat zij in bitcoins
betalen. Zij moeten bij een online wisselkantoor bitcoins inkopen en overdragen aan de criminelen die dus in
dit geval direct geld ontvangen, maar toch anoniem blijven.
Een minder bekend —door Wikileaks aan het licht gebracht— voorbeeld van datagijzeling is de
afpersing van de Amerikaanse staat Virginia op 30 april 2009. Daar verschafte een hacker zich
toegang tot een medische databank (Virginia’Prescription Monitoring Program) en stal daar
bijna 8,3 miljoen patiëntendossiers en meer dan 35,5 miljoen voorschriften van medicijnen. De
staat Virginia ontving een brief waarin losgeld werd gevraagd. Daarin zei de afperser dat hij in
het bezit was van de medische gegevens:
“Ik heb jullie shit in ‘mijn’ bezit. [...] Ik heb een geëncrypteerde backup gemaakt en het origineel vernietigt.
[...] Voor $ 10 miljoen ben ik graag bereid het wachtwoord op te sturen.”
De afperser dreigde dat hij de gegevens op aan de hoogste bieder de vrije markt zou verkopen
als hij het losgeld niet zou krijgen. Het is niet helemaal duidelijk of de staat Virginia losgeld
heeft betaald. Van de dader(s) ontbreekt nog elk spoor [Washington Post, 4.5.09; Fox News,
7.5.09; CBS, 15.6.10].
Dit voorval is niet uniek. In meerdere gevallen werd losgeld gevraagd om de gegevens vrij te
geven, en in veel gevallen waren eigen werknemers of onderaannemers bij de gijzeling
betrokken [PHIprivacy, 25.9.12]. De medische sector is er nog niet in geslaagd om adequate
beveiligingsmaatregelen te nemen om inbraken op pati�ntendossiers en andere vertrouwelijke
medische informatie te voorkomen of tijdig te detecteren — vooral niet als het inbraken van
binnenuit betreft.
Politievirus — Police ransomware

In 2011 werd een nieuwe variant van cyberafpersing gedetecteerd: «police ransomware». Het
is kwaadaardige software die internetgebruikers bedriegt door betaling te vragen voor
nepboetes. Wie daarmee besmet raakt krijg een pop-up scherm te zien dat van politie, justitie
of een meestal niet bestaande Afdeling Cybercriminaliteit lijkt te komen [zie voorbeeld]. Vaak
wordt daarbij een waarschuwing gegeven dat er kinderporno of ander illegaal materiaal op de
pc is gevonden.
Om weer toegang te krijgen tot de vergrendelde bestanden op de geïnfecteerde computer

moeten de slachtoffers een boete betalen. Uiteraard wordt ook na betaling van de boete de
computer niet ontgrendeld tot dat de machine is gedes�nfecteerd [Europol, 7.5.12; Malware
don’t need Coffee, 18.2.13; Security.nl, 11.2.13; Security.nl, 18.2.13].
Idiotenbelasting
De crackersgroep Rex Mundi gespecialiseerde zich in het afpersen van personen en instellingen.

Zij stelen gevoelige informatie en dreigen deze online te plaatsen als de slachtoffers niet bereid
zijn om een «idiotenbelasting» te betalen. Rex Mundi is geen gewone groep van criminele
hackers. Zijn claimen ‘ethische’ hackers te zijn die alleen maar doelwitten selecteren die het
verdienen om bestolen te worden. De groep verwijt haar slachtoffers dat zij sjoemelen met de
beveiliging van hun klantgegevens of dat zij zelf hun klanten bestelen. Dat neemt niet weg dat
het winstoogmerk domineert: “we’re in it for the money, which is also pretty awesome.”
Rex Mundi perste diverse bedrijven af: AmeriCash Advance (klantgegevens van
credietnemers), het Nederlandse uitzendbureau Accord, de Belgische kredietverstrekker
Elantis, het Belgische uitzendbureau AGO-Interim (database bevat allerlei denigrerende teksten
over sollicitanten), het Canadese uitzendbureau Drake International, de Franse
kredietverstrekker Credipret en de financieringsinstelling Buy Way.
In juni 2014 maakte Rex Mundi zich meester van 650.000 klantgegevens van Domino’s Pizza.
Zij eisten een losgeld van €30.000 en dreigden bij niet-betaling de gegevens openbaar te
maken. Om de claim kracht bi te zetten, plaatsten zij gegevens van zes klanten online. Met
naam, adres, telefoonnummer, e-mailadres en wachtwoord. De afpersers beweerden dat ze de
databank met klantgegevens kraakten om aan te tonen dat de websites van Domino’s Pizza
kwetsbaar zijn [Tweakers, 13.6.14].
Computervredebreuk en Afpersing
Rex Mundi maakt zich schuldig aan computer criminaliteit (computervredebreuk) en een vermogendsdelict
(afpersing). Op ‘afpersing’ staat in Nederland een vrijheidsstraf van ten hoogste 9 jaar of een geldboete van de
5e categorie. Op ‘computervredebreuk’ [artikel 138ab] staat nu nog een gevangenisstraf van ten hoogste 1
jaar of een geldboete van de 4e categorie. Wanneer de inbreker echter (i) gegevens uit de computer voor
zichzelf of anderen vastlegt, of (ii) de verwerkingscapaciteit van de computer voor zichzelf aanwendt, of (iii) de
ingebroken computer gebruikt als startpunt voor een verdere inbraakpoging in een andere computer, dan
neemt de maximumstraf toe tot 4 jaar of een geldboete van de vierde categorie.
In aansluiting bij de Europese richtlijn wordt in het wetsvoorstel van de Minister van Veiligheid en Justititie de
celstraf voor normale computerdelicten verhoogd tot maximaal 2 jaar. Voor computerdelicten die in
georganiseerd verband worden gepleegd of die ernstige schade veroorzaken of gericht zijn tegen vitale
infrastructuren wordt de maximum celstraf verhoogd tot 5 jaar [Memorie van Toelichting, 7.2.14].
Volgens het geldende strafrecht vallen onder cybercrime in ieder geval:
Hacking (�computervredebreuk�): het opzettelijk en wederrechtelijk binnendringen in een

geautomatiseerd werk of in een deel daarvan [art. 138ab Sr].
Malware (�gegevensaantasting�): het opzettelijk en wederrechtelijk veranderen, wissen, onbruikbaar of

ontoekankelijk maken van gegevens andere gegevens toevoegen aan gegevens die door middel van een
geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of worden
overgedragen [art. 350a].
Spyware: het opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen
die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie
of door middel van een geautomatiseerd werk [art. 139c]

Voorhanden hebben van malware en inbraakinstrumenten: het in bezit behhen van een technisch
hulpmiddelwaarmee een gesprek, telecommunicatie of andere gegevensoverdracht of andere
gegevensverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of
opgenomen [art. 139d)
Denial of service aanvallen: het opzettelijk en wederrechtelijk belemmeren van de toegang tot of het
gebruik van een geautomatiseerd werk door daaraan gegevens aan te bieden of toe te zenden [art. 138b];
Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of
onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte
van zodanig werk genomen veiligheidsmaatregel verijdelt [161sexies].
Cybotage van infrastructuren (‘Beschadiging van werken ten algemenen nutte’): het opzettelijk en
wederrechtelijk vernielen, beschadigen, onbruikbaar, onklaar of wegmaken van spoorweg- of
elektriciteitsnetwerken, geautomatiseerde werken of netwerken voor telecommunicatie die dienen tot
waterkering, waterlozing, gas- of waterleiding of riolering, voor zover deze werken ten algemenen nutte
gebezigd worden, dan wel ten behoeve van de landsverdediging [art. 351]. En het opzettelijk vernielen,
beschadigen of onbruikbaar maken, verstoren van de gang of werking enig geautomatiseerd werk of enig
werk voor telecommunicatie, of het verijdelen van veiligheidsmaatregel verijdelt [art. 161sixies]. Dit artikel
wordt overgeheveld naar een nieuw artikel 350c waarin samenvattend strafbaar wordt gesteld het
opzettelijk vernielen, beschadigen, onbruikbaar maken of verstoren van de werking van geautomatiseerd
werk of werk voor telecommunicatie. Daarbij vervalt de eis dat het moet gaan om ‘gegevens ten algemene
nutte’ en ook dat het moet gaan om stroonissen in een ‘openbaar’ telecommunicatienetwerk of een
‘openbare’ telecommunicatiedienst.
Grensoverschrijdende online opsporingen of de plaatsing van spyware door opsporingsautoriteiten is

nadrukkelijk niet geregeled. Voor bewijsvergaring door opsporingsinstantie op het grondgebied tussen EU
lidstaten onderling is dus nog steeds rechtshulp of toestemming van een staat vereist.
Analogie met huisvredebreuk

Wie in een huis van een ander ongenodigd binnendringt maakt zich schuldig aan huisvredebreuk, ook al stond
de voordeur open of was de vergrendeling van het keukenraam van slechte kwaliteit. Zelfs zonder iets te
stelen of schade aan te richten is dit een strafbare handeling (‘insluiping’, het onrechtmatig betreden zonder
braak). Maar is dit ook het geval als de voordeur open staat, ik aanklop, de gang in loop en ‘hallo, iemand
hier?’ roep, zonder iets te stelen of te vernietigen?
Vindersloon-regeling voor het vinden van dergelijke gaten in beveiliging?
CyberInlichtingen
@@@@.
Informatie vergaren: heimelijk inbreken en aftappen

Cybercriminelen moeten over goede informatie beschikken over hun doelwitten en over de
online systemen waarvan zij gebruik maken. Om die informatie te verwerven moeten zij
penetreren in computersystemen en te infiltreren in digitale communicatienetwerken.
Crimineel inlichtingenwerk is tegenwoordig een vorm spionage op afstand. Dat is relatief

eenvoudig en goedkoop uit te voeren, terwijl het risico van ontdekking klein is en de potentiële
opbrengst bijzonder groot kan zijn.
Cybercriminelen zoeken eerst naar zwakke plekken

in ict-systemen van hun slachtoffers. Vervolgens

proberen zij daarin via een onbewaakte of zwak
beveiligde achterdeur binnen te dringen. Daarna
beginnen de eigenlijke beschadigende activiteiten.
Wie illegaal toegang heeft verkregen tot de
computer of mobiele communicatie van een
slechtoffer, kan daarmee in principe alles doen:
spioneren (gevoelige informatie aftappen),
manipuleren (kritieke processen beïnvloeden) en
cyboteren (onbruikbaar of ontoegangkelijk maken
van computersystemen).
Cybercriminelen hebben
grote digitale oren.
De slimste manier om in een beveiligd systeem in te
breken is het compromitteren van elementen die het meeste vertrouwen genieten. “Vroeger
was dat de lievelingsconcubine van de koning, tegenwoordig is dat de exploitatie van
beveiligingssoftware” [Gaycken 2012:9].
De hoogste kunst is om in te breken in de bedrijven die de beveiligingssoftware voor digitale

processen fabriceren. De meest aangewezen plek om dit te doen is bij bedrijven die certificaten
uitgeven die dienen ter identificatie van websites en beveiliging van webverkeer. De protocollen
die transacties en commmunicaties op internet beveiligen zijn SSL (Secure Sockets Layer) en
TLS (Transport Layer Security).
SSL en TLS zijn technologieën voor het maken van een geëncrypteerde verbinding tussen een webserver en
een internetbrowser. Zo’n verbinding moet ervoor zorgen dat alle data die tussen een webserver en browser
worden verstuurd geheim blijven voor buitenstaanders en niet gestolen kunnen worden. SSL- of TLS-
certificaten worden gebruikt voor het beveiligen van online transacties en voor de encryptie van
creditcardgegevens of persoonlijke informatie. Deze certificaten zijn versleuteld met asymmetrische
cryptografie; de communicatie tussen gebruiker en server wordt versleuteld met symmetrische cryptografie.
De server wordt door middel van een certificaat geauthentiseerd

zodat de gebruiker er zeker van kan zijn dat de gevonden server
(bijvoorbeeld van een bank) ook daadwerkelijk de server is die hij
zegt te zijn. SSL- en TLS-protocollen worden gebruikt om
client/server-applicaties te beveiligen tegen afluisteren. Maar ook
hier is de veiligheid van deze protocollen slechts zo sterk als haar
zwakste schakel. De inbraken op de SSL-beveiliging toonden aan
dat er heel wat zwakke schakels zijn waarvan er een aantal
misbruikt kunnen worden voor criminele doeleinden.

Diginotar: gehackt vertrouwen

“Het internet is weliswaar opgebouwd uit software en hardware, maar het is een ecosysteem dat afhankelijk
is van een menselijke kernwaarde: vertrouwen. De netwerken en systemen moeten de informatie die we
versturen kunnen vertrouwen, en omgekeerd moeten wij de informatie die we ontvangen kunnen
vertrouwen” [Peter W. Singer 2014]
De meest superieure vorm van cyberspionage is het inbreken bij producenten van
vertrouwensmechanismen. Dat was precies wat er in 2011 in Nederland gebeurde: er werd
ingebroken op DigiNotar, de belangrijkste leverancier van beveiligingscertificaten. Het toonde
aan dat er intussen meer tactisch denkende aanvallers opereren in het digitale strijdperk.
DigiNotar was een commerciële certificaatautoriteit. Het

DigiNotar SSL certificaat werd door de Nederlandse overheid
gebruikt voor al hun veilige online transacties. DigiNotar
verzorgde de PKIoverheid-certificaten voor grote delen van de
Nederlandse overheid, waaronder die van DigiD. De
certificaten werden niet alleen gebruikt voor alle online
belastingteruggaven, maar ook voor de website van de AIVD.
Op 17 juni 2011 slaagde een hacker, die SQL-injectie

Veel webapplicaties gebruiken een databank om
opereerde onder de naam ‘Comodohacker’, erin
allerlei informatie op te slaan. Met de standaard
bij DigiNotar in te breken [PCWorld, 6.9.2011]. databasetaal SQL (Structured Query Language)
worden verzoeken naar de databank verstuurd om
Net als bij zijn eerdere inbraken gebruikte de
bepaalde informatie beschikbaar te maken op de
hacker daarvoor een bekende techniek voor een website. Met een zoekterm bepalen gebruikers zelf
aanval op een database: de SQL injectie. De welke informatie zij willen zien. Cybercriminelen
maken hiervan gebruik om een extra SQL-verzoek
hacker kreeg uiteindelijk de controle over de toe te voegen, waardoor de inhoud van de
servers van DigiNotar. Er werden 531 SSL- databank wordt aangepast of toegang wordt
verkregen tot niet publiek toegankelijke
veiligheidscertificaten gestolen. Sommige daarvan gebruikersnamen en wachtwoorden. Dit toevoegen
kunnen gebruikt worden om nepupdates voor van zo’n verzoek wordt SQL-injectie genoemd.
Windows naar computers te sturen.
Een van de directe gevolgen van deze inbraak was dat DigiNotar op 29 juli 2011 een certificaat
voor het domein google.com uitgaf aan onbekende personen in Iran. Wekenlang probeerde
DigiNotar deze valse uitgifte te verzwijgen. Zelfs na publicatie over de diefstal hield het bedrijf
bij hoog en bij laag vol dat haar systemen niet gecompromitteerd waren. Maar uiteindelijk
moest zij toegeven dat haar certificaten niet meer veilig waren. In het forensisch onderzoek
van het beveiligingbedrijf Fox-IT werden de fouten in de procedures en systemen van DigiNotar
aan het licht gebracht. Diginotar maakte gebruik van verouderde software, haar wachtwoorden
waren gemakkelijk te kraken en er werd geen gebruik gemaakt van antivirusprogrammatuur.

Op 2 september zegde de Nederlandse overheid haar vertrouwen in DigiNotar volledig op

[Cert.nl: Factsheet]. Tijdens een opmerkelijke persconferentie —zaterdagmorgen om 1:15 uur
— kondigde minister Donner van Binnenlandse Zaken aan dat de Nederlandse regering alle
vertrouwen in digitale certificaten van DigiNotar had verloren. Op 13 september trok de OPTA
de registratie van DigiNotar als leverancier van gekwalificeerde elektronische handtekeningen
(certificaten) in. Op 20 september 2011 werd DigiNotar failliet verklaard [Nu.nl:20.9.2011].
Dodelijke hack
Het belangrijkste doel van de inbraak bij Diginotar was waarschijnlijk het achterhalen van de tegenstanders
van het Iraanse regime. In Iran werden internetters die dachten bij Gmail in te loggen omgeleid naar een
andere website die niet te vertrouwen was. Ook netwerken van universiteiten werden gekraakt. Met de van
DigiNotar gestolen certificaten kon de Iraanse overheid haar burgers bespioneren, zelfs als deze verbinding
hebben met beveiligde https-websites.
Door de hack bij DigiNotar kon de regering gemakkelijk achterhalen welke mensen met welke idee�n
rondliepen en waar deze personen zich bevonden. Op die manier proberen de machthebbers in Iran de
oppositie de kop in te drukken [Nu.nl:13.10.2011].
Moeizame attributie: nationalistische hack of door staat gesponsorde aanval?

De nepcertificaten konden gebruikt worden om de communicatie van gebruikers te monitoren
zonder dat ze dat door hebben. Dit kan echter alleen door een organisatie die in staat is om
internetverkeer om te leiden naar servers die ze controleren. Meestal zijn dat overheden.
Zonder controle over de infrastructuur zijn de nepcertificaten onbruikbaar.
Toch bleef het ook in dit geval lastig te bepalen wie er voor de aanval op DigiNotar
verantwoordelijk was en wat het eigenlijke doel van de hele operatie was. Sommige experts
beschouwen de DigiNotar-hack daarom als een cyberoorlogsdaad (‘worse than Stuxnet’).
“De aanval op DigiNotar zal cyberoorlog bovenaan of dicht bij de top van de politieke agenda van Westerse
regeringen zetten. Ik blijf erbij dat het meest plausibele scenario een regeringsoperatie is. De schade die is
toegebracht aan de Nederlandse (overheids-) IT-infrastructuur is zeer significant. Een groot aantal diensten
zijn niet langer beschikbaar. De communicaties zijn feitelijk ontregeld. Daarom kan men zeggen dat de
aanval een daad van cyberoorlog is” [Roel Schouwenberg van beveiligingsbedrijf Kaspersky, in The Guardian,
5.9.11].
Maar daar zijn niet alle beveiligingsexperts het Op de server van Diginotar werd een script
aangetroffen dat bedoeld was om handtekeningen
mee eens. Robert Graham, de CEO van Errata
aan te maken voor aangevraagde certificaten. Het
Security, wisselde e-mails met de inbreker en script bevat een Engelse tekst waarin de hacker zijn
vingerafdruk had geplaatst: Janam Fadaye Rahbar.
bevestigde dat hij inderdaad verantwoordelijk
Dezelfde tekst was gevonden in de Comodo hack
was voor de hacks. De persoon die claimde dat [Onderzoeksrapport van Fox-It].
hij eerder het certificatiesysteem van Comodo
had gehackt, beschikte inderdaad over de private key van zijn ontvreemde certificaten.
Graham gelooft niet in de Iran-connectie:

“We gaan uit van de vooronderstelling dat iedereen die de regering steunt daar ook voor de regering werkt
en dat is gewoon niet waar. Mijn theorie is dat hij precies is wie hij zegt dat hij is. Alle sporen wijzen in deze
richting. Er is geen enkel bewijs dat hij onderdeel is van een door de staat gesponsorde inspanning. De
aanval is niet zo ingewikkeld. Het is gewoon iets wat een gemiddelde penetratietester zou doen” [Errata
Security, 28.3.11].
Onder de naam Commandohacker plaatste de inbreker op 5 september 2011 een

waarschuwing op Pastebin: “I strike back again.” In een nogal verward betoog legt hij uit dat
de Nederlandse overheid moet boeten voor de acties van haar soldaten in Srebrenica, waar
tijdens de Bosnische oorlog in 1995 achtduizend moslims werden gedood door Servische
strijdkrachten. De hele investering van de Nederlandse overheid in DigiNotar zou door zijn
acties voor niets geweest zijn: “I thought if I issue certs from Dutch Gov. Certificate Authority,
they’ll lose a lot of money.” Daarbij verwijst hij naar de beursnotering van Vasco, het
moederbedrijf van DigiNotar.
In persinterviews presenteerde de hacker zichzelf als een 21-jarige Iraanse student. Op 23

maart 2011 verklaarde Comodo dat hij acht dagen daarvoor nepcertificaten had gestolen voor
de log-on sites van Microsoft’s Hotmail, Google’s Gmail, de internet telefoon en chatdienst van
Skype en Yahoo Mail. Hij verduisterde ook een certificaat voor Mozilla’s Firefox add-on site.
Bedreigingen
Een week na zijn aanval op de digitale certificaten van Comodo stuurde de hacker —die zich ook wel ‘Ich Sun’
noemt— een brief aan de Italiaanse vicepresident van Comodo, Massimo Pence. Hij maakt zich daarin erg boos
over het feit dat de topman van Comodo niet op zijn brieven reageert. “Because I didn’t saw your reply, for
now, just for now, I wiped your LG Drive and F:\drive and all log files.” Hij dreigt nog veel verdergaande
maatregelen te nemen als Pence niet op hem reageert. “So now, contact me before I do something so
dangerous. Simply personally contact me, do not try to find me, do not try to remove me, do not try
anything...”
De CEO van Comodo, Melih Abdulhayoglu, zei dat hij over bewijzen beschikte dat de aanval
door een staat werd ondersteund en dat waarschijnlijk de Iraanse regering achter de aanval
zat. Alleen de Iraanse regering was in staat om de DNS (domain name system) van het land zo
in te richten dat het verkeer naar fake sites werd verstuurd die beveiligd waren door gestolen
certificaten. Maar de Comodo hacker spreekt dit tegen. In zijn eerste bericht op Pastebin
benadrukt hij zijn alleenrecht op de certificatendiefstal:
“I see Comodo CEO and other wrote that it was a managed attack, it was a planned attack, a group of cyber
criminals did it, etc. Let me explain: I’m not a group, I’m single hacker with experience of 1000 hacker, I’m
single programmer with experience of 1000 programmer, I’m single planner/project manager with
experience of 1000 project managers, so you are right, it’s managed by 1000 hackers, but it was only I with
experience of 1000 hackers” [A message from Comodo hacker, 23.2.11].
De hacker motiveert zijn actie als een vergelding voor de door Stuxnet-aanval die de VS en
Israël pleegden op de kerncentrales in Iran.

“When USA and Israel write Stuxnet, nobody talks about it, nobody gots blamed, nothing happened at all, so
when I sign certificates nothing happens, I say that, when I sign certificates nothing should happen. It’s a
simple deal. When USA and Israel could read my emails in Yahoo, Hotmail, Skype, Gmail, etc. without any
simple little problem, when they can spy using Echelon, I can do anything I can. It’s a simple rule. You do, I
do, that’s all. You stop, I stop. It’s rule #1.”
Comodo wil in Iran niemand wil toelaten die de bevolking, haar nucleaire wetenschappers, zijn
leider, zijn president kwaad doet. Zolang hij leeft zal er voor ‘jullie’ geen privacy op internet
bestaan en zullen ‘jullie’ niet veilig zijn in de digitale wereld. “I’ll show you how someone in my
age can rule the digital world.” En met een knipoog: “My orders will equal to CIA orders.”
In zijn tweede bericht Another proof of Hack from Comodo Hacker [27.3.11] gaf hij een
uitvoerig technisch bewijs van zijn inbraak. In een derde bericht Comodo Hacker: Mozilla Cert
Released [28.3.11] werd voor “some real dumbs” nog een bewijs aan toegevoegd. In zijn
vierde bericht Just Another proof from Comodo Hacker [28.3.11] en in het vijfde bericht
Response to comments from ComodoHacker [29.3.11] reageert hij uitvoerig op alle
commentaren.
In de laatste twee berichten vertelt Comodohacker dat hij de laatste zes jaar van zijn leven
besteed heeft aan encryptie en cryptoanalyse: “most of my daily work focuses on encryption
algorithms, differential cryptanalysis, inventing new methods of attacks on encryption
algorithms, creating new secure encryption algorithms (symmetric and asymmetric), creating
secure hash algorithm.” Hij nodigt iedereen uit om contact met hem op te nemen op:
ichsun@ymail.com.
Bij cyberaanvallen is meestal niet duidelijk wie daarvoor verantwoordelijk is. Bij DigiNotar lijkt
de eerste verantwoordelijkheid voor de diefstal van beveiligingscertificaten duidelijk. De
Comodo Hacker alias Ich Sun eiste de verantwoordelijkheid op en kon dit —door het tonen van
de private key— ook bewijzen. Dit sluit betrokkenheid van de Iraanse overheid bij deze
cyberoperatie niet uit — zij kan hiervan voor eigen repressieve doeleinden hebben geprofiteerd.
In cyberspace is attributie bijna altijd fundamenteel

omstreden. Wat niet omstreden is zijn de effecten van
deze operatie. Wanneer al dan niet door overheden
gesponsorde hackers erin slagen om fundamentele
“Als je mekaar niet meer vertrouwen kan,
vertrouwensmechanismen in de digitale wereld te waar blijf je dan...”
compromitteren, brengen zij een ernstig slag toe aan de veiligheid van transacties en
communicaties via internet. Het exploiteren van beveiligingssoftware is de meest geavanceerde
vorm van cyberspionage. Naties en nationale defensies die niet in staat zijn om de
vertrouwensmechanismen van hun digitale transacties en communicaties te beschermen, staan

bij internationale conflicten die (ook) in cyberspace worden uitgevochten bij voorbaat op
achterstand.
Certificatendiefstal neemt toe

Wereldwijd zijn er meer dan vijfhonderd certificaatautoriteiten
(CA). Steeds meer malware wordt getekend met gestolen
certificaten van legitieme bedrijven. In 2010 werden er
39.000 certificaten gestolen, in 2011 bijna 54.000
[Security.nl, 22.6.11]. Met de frauduleuze certificaten worden
gebruikers en beveiligers misleid dat het om een legitieme
applicatie gaat. Meestal stelen aanvallers alleen de sleutels
van de certificaten, waarmee ze hun eigen malware van deze
certificaten kunnen voorzien.
Certificaat van echtheid van Windows-software.
Beveiligingscontrole en penetratietest
Een hoogwaardige en complexe cyberaanval vereist een lange voorbereidingstijd. Eerst moet
een zo nauwkeurig mogelijk beeld worden verkregen van de doelwitten. Er moet een blauwdruk
worden opgesteld van de technische computersystemen (footprinting), van alle informatie- en
communicatieprocessen, en van de mensen die deze technologieën bedienen. Pas dan is het
mogelijk een aanvalstactiek te ontwikkelen die ongemerkt door de beveiligingsmechanismen
kan dringen.
Cybercriminelen kunnen de benodigde informatie maar gedeeltelijk via online spionage

verwerven. In veel gevallen blijft het noodzakelijk om persoonlijk te infiltreren in de systemen
van de doelwitten of om interne informanten (mollen) te rekruteren.
Van bedrijven en overheidsinstellingen wordt verwacht dat ze de kritische kwetsbaarheden van

de eigen systemen en netwerken afdekken. De beheersing van de eigen risico’s vindt op twee
manieren plaats.
Beveiligingscontrole
Bij een beveiligingscontrole (security audit) worden mogelijke kwetsbaarheden van een of
meer computersystemen in kaart gebracht zonder dat er daadwerkelijk een poging wordt
gedaan om in te breken. Er wordt gecontroleerd wat de risico’s zijn. Een risico is de
relatieve kans dat een kwetsbaarheid van een computersysteem of netwerk kan worden
misbruikt in combinatie met het gewicht van de schade die zo’n exploitatie kan opleveren.
Het soortelijk gewicht van een exploitatie is afhankelijk van de mate waarin daadwerkelijk
de controle over computers of netwerken kan worden overgenomen dan wel vitale
informatie- of communicatieprocessen beschadigd kunnen worden.
Niet alle kwetsbaarheden zijn exploiteerbaar. Er zijn ook kwetsbaarheden die wel

ge�xploiteerd kunnen worden maar geen veiligheidsrisico vormen omdat de aangetaste

bron geen waarde heeft.
Penetratietest
De beste manier om te voorkomen dat cybercriminelen inbreken in informatie- en
communicatienetwerken is het uitvoeren van een penetratietest. Bij een penetratietest
(pentest) worden de kwetsbaarheden van het systeem juist wel gebruikt om in te breken. In
een penetratietest wordt de exploitatie van een beveiligingslek in de computersystemen en
netwerken door een crimineel nagebootst (security assessment). Het is een brandoefening
waarin mensen worden voorbereid op de tijd dat er een echte digitale brand uitbreekt.
Wat doet een penetratietester?

Een penetratietester (a) verkent de kwetsbaarheden van een computersysteem of netwerk; (b) bepaalt de in-
en uitgangsrisico’s; (c) definieert de exploitatiemogelijkheden van gevonden kwetsbaarheden (d) test alle
systemen op zwakke wachtwoorden; (e) gebruikt mensen —mollen, insiders— om toegang te krijgen tot
informatie en systemen: via lokmails, geïnfecteerde USB-sticks, telefoongesprekken en andere methoden van
misleiding; (f) onderzoekt de mogelijkheden om controle over computersystemen en netwerken over te
nemen: directe toegang tot gegevens in databanken, installeren van keyloggers en het overnemen van
schermcontrole; (g) verzamelt bewijzen dat men daadwerkelijk binnen is, middels screenshots, wachtwoorden,
decryptiecodes of ontvreemde bestanden; (h) rapporteert over de wijze waarop tijdens de penetratietest in het
netwerk werd ingebroken en toegang werd verkregen tot geheime informatie en vertrouwelijke communicatie;
en (i) doet verbeteringsvoorstellen voor een effectievere verdediging van de eigen computersystemen en
netwerken en voor de versterking van de aanvallen op vijandige systemen.
Wat is een exploit?

Een exploit is een stukje software (bestaande uit coderegels) dat gebruik maakt van een kwetsbaarheid in de
software van een elektronisch apparaat om onverwacht en door de eigenaar van het apparaat meestal
ongewenst gedrag te veroorzaken op de software of hardware van dat apparaat.
Een exploit omvat de injectie (mechanisme om shellcode op de gekraakte computer aan te brengen), de
shellcode (programma/instructies die een aanvaller probeert uit te voeren op gekraakte computer) en de
payload (code met commando’s die op het doelsysteem moeten worden uitgevoerd) . De shellcode wordt
gebruikt als de payload in de exploitatie van een kwetsbaarheid in de software.
Automatische spionnen
De weerbaarheid en het herstelvermogen van computersystemen en netwerken kan handmatig
worden getest. Dat is wat veel hobbyistische en ambachtelijke hackers doen. Professionele
inbrekers gebruiken gespecialiseerde softwarepaketten waarmee beveiligingscontroles en
penetratietests automatisch worden uitgevoerd.
Net als alle andere instrumen�ten voor netwerkverkenning en computer�beveiliging worden

deze pakketten zowel gebruikt door systeem�beheerders die hun netwerk proberen te
beveiligen als door cybercriminelen die in die netwerken proberen in te breken.
In het volgende schema zijn de belangrijkste verkennings- en testfuncties van automatische

spionnen in kaart gebracht.
Verkenningsfuncties
Host-discovery Identificeren van de op een netwerk aanwezige hosts (via ping- of arp-scans).
Port-scanning Zoeken naar open TCP/IP-poorten op een of meerdere doelcomputers
OS-detection Bepalen welke besturingssystem de doelcomputer gebruiken
Service-detection Inventariseren van de diensten die het systeem aanbiedt.
Version-detection Inventariseren van welke versies er gebruikt worden van aangeboden diensten.
Packet filter/Firewall detection Identificatie type van type packet filter en firewall.
Testfuncties
Vulnerability detection Testen van doelsysteem en aangeboden diensten op aanwezige kwetsbaarheden.
Penetratietest Simuleren van externe en interne aanvallen.
Ontwikkelen en testen van exploitatieprogramma�s die gebruik maken van
Exploit design
kwetsbaarheden van computersystemen en netwerken om daarop in te breken.
Bij de verkenningen worden tientallen systeemkenmerken in kaart gebracht. Meerdere

computers kunnen tegelijkertijd op diverse kenmerken en kwetsbaarheden worden
gecontroleerd.
Met behulp van eenvoudige scripts wordt een grote diversiteit van tests geautomatiseerd. Om
maximale snelheid en flexibiliteit te garanderen kunnen deze scripts parallel worden
uitgevoerd.
Alle diensten (TCP of UDP) die door een netwerk worden aangeboden, worden getest om te
bepalen of en hoe daarop kan worden ingebroken, of er DDoS-aanvallen op uitgevoerd kunnen
worden, en of er via deze diensten gevoelige informatie verkregen kan worden.
De meer geavanceerde softwarepakketten fungeren als platform voor het ontwikkelen, testen
en gebruiken van inbraakmethodieken (exloits) die onzichtbaar zijn voor antivirussoftware en
voor systemen van inbraakdetectie en -preventie.
Voorbeelden van dit soort pakketten zijn Shodan, Nessus, OpenVAS, Core Impact, SAINT,
Wireshark, Metasploit en het commerciële Finfisher.
Telnet (TELetype NETwork) is een netwerkprotocol waarmee je op afstand kunt inloggen op

een computer om die vervolgens via een opdrachtregel te besturen. De eigen computer
fungeert dan als terminal van de server. Meestal maakt Telnet gebruik van TCP/IP-poort 23.
Het Telnet-protocol is slecht beveiligd: alle gegevens, meestal inclusief wachtwoorden,

worden in leesbare vorm over het netwerk verstuurd. Daarom wordt Telnet steeds minder
gebruikt. Steeds meer gebruikers stappen over op het versleutelde alternatief SSH (Secure
Shell).
Tegenwoordig wordt Telnet vooral gebruikt voor het opzetten, testen en herzien van
verbindingen die onder andere protocollen draaien.

Nmap (Network Mapper) is een opensource programma voor netwerkverkenning en

beveiligingscontrole. Het is een uiterst krachtig, multifunctionele cyberspion. Naast een zeer
uitgebreid repertoire aan ingebouwde modules voor verkenning en testing, heeft Nmap
heeft een ingebouwde Scripting Engine waarmee gebruikers zelf scripts kunnen schrijven
om het vergaren van inlichtingen te automatiseren. Nmap werd ontwikkeld om grote
netwerken te scannen, maar werkt ook uitstekend tegen afzonderlijke computers.
Na haar lancering in 1997 werd Nmap snel een populair

instrument voor netwerkspecialisten en hackers. Gordon ‘Fyodor’
Lyon schreef het boek NMAP Network Scanning [2009] waarin hij
uitvoerig uitlegt hoe het programma gebruikt kan worden. In
diverse films werd van Nmap gebruik gemaakt: The Matrix
Reloaded, The Bourne Ultimatum en Die Hard 4.0. In de Matrix
maakt Trinity gebruik van Nmap om in te breken op de
elektriciteitscentrale van de stad. Het was de eerste grote film
waarin op adequate wijze een hack werd geportretteerd.
Shodan (Sentient Hyper-Optimized Data Access Network) is een zoekmachine waarmee je

op het internet naar computers kunt zoeken. Het is de Google voor hackers waarmee zowel
gezocht kan worden naar apparaten op bepaalde plaatsen (steden, landen,
lengte/breedtegraden), als naar hostname, besturingssysteem of IP-nummer. Je vind er
webservers mee, maar ook industriële controlesystemen, ijskasten en alles wat er verder
met het internet verbonden is: webcams, routers, energiecentrales, windturbines,
smartphones, VoIP telefoons.
Shodan werkt eigenlijk heel eenvoudig: het zoekt het hele internet af naar poorten van
webservers en indexeert alle HTTP headers die gevonden worden. Je kunt zoeken naar een
kwetsbaarheid die je op een doelsysteem kunt exploiteren, maar je kunt ook een exploit
kiezen en vervolgens een systeem zoeken dat daar kwetsbaar voor is. Zo wordt het
kinderlijk eenvoudig om systemen te vinden die kwetsbaar zijn voor een SQL-injectie. Met
Shodan kunnen hackers razendsnel en efficiënt systemen vinden waarop gemakkelijk kan
worden ingebroken.
Shodan werd ontworpen door John Matherly. In 2003 vroeg hij zich
als teenager af hoeveel hij aan de weet kon komen over apparaten
die aan het internet verbonden zijn. Na jaren sleutelen aan de code
vond hij een manier om de specificaties van alle apparaten in kaart
te brengen: van desktopcomputers tot netwerkprinters en
websevers.webcams, routers, energiecentrales, iPhones, John Matherly
windturbines, ijskasten en VoIP telefoons. auto’s, beveiligingssystemen, en industriële

controlesystemen. Op dit moment zijn al meer dan 12 miljard van alle apparaten met het
internet verbonden en in het volgende decennium zullen dat er 50 miljard zijn.
Een kwaadaardige godin

John Matherly was geobsedeerd door de digitale wereld. Hij
ontleende de naam van zijn project aan een kwaadaardig
karakter in het videospel System Shock II. Het karakter Shodan
(Sentient Hyper-Optimized Data Access Network) is een
kunstmatige intelligentie entiteit. Shodan houdt zichzelf voor een
godin wier bestemming het is om alle mensen te vernietigen.
In 2009 nodigde Matherly zijn vrienden uit om Shodan uit te proberen. Zij ontdekten iets
verbazingwekkends: talloze industriële controlecomputers waren verbonden aan het internet
en in een aantal gevallen stonden zij ver open voor exploitatie door zelfs gematigd
getalenteerde hackers.
In twee jaar tijd vond Shodan bijna honderd miljoen apparaten: legde hun precieze locatie
vast en de software systemen die er op gebruikt worden. Per maand compileert Shodan de
informatie van 10 miljoen nieuwe apparaten. In 2010 waarschuwde het Amerikaanse
cybercrisisteam voor industriële controlesystemen (ICS-CERT) dat Shodan gebruikt werd om
toegang te krijgen tot SCADA-systemen. Daarbij wordt gebruik gemaakt van
kwetsbaarheden in de mechanismen voor authenticatie en autorisatie. Sommige
identificatiesystemen maken nog steeds gebruik van de standaard gebruikersnamen en
wachtwoorden zoals deze door de verkopers van SCADA-systemen worden aangeleverd.
Nessus is een programma om de beveiliging van computers en computernetwerken te

testen. Het serverprogramma zorgt voor de eigenlijke scans; via het clientprogramma kan
verbinding worden gemaakt met het serverprogramma. Aanvankelijk was Nessus gratis en
open source, maar in 2005 werd de broncode gesloten en kost het programma $ 1.200 per
jaar. Er is nog wel een gratis Home Feed beschikbaar, maar deze is beperkt en kan alleen
worden gebruikt voor thuisnetwerken.
OpenVAS (Open Vulnerability Assessment System) is een kwetsbaarheidsscanner en

manager (beveiligingscontrole). Het softwarepakket is afgeleid van de laatste vrije versie
van Nessus (Nessus werd in 2005 commercieel). OpenVAS detecteerd meer dan 2.000
kwetsbaarheden in computersystemen en kan meerdere computers tegelijkertijd te
controleren op kwetsbaarheden. Het genereert rapporten in diverse formaten (inclusief XML
en HTML). Met een eenvoudige scripttaal (NASL) kan de gebruiker het programma zelf
aanpassen en scripts schrijven waarmee kwetsbaarheden in computersystemen

geadresseerd kunnen worden.
Core Impact is een van de meest krachtige exploitatie-instrumenten, maar kost wel
minstens $30.000. Het programma heeft een paar aardige trucs in huis: eerst wordt
ingebroken in een computer en vervolgens wordt in die machine een een geëncrypteerde
tunnel aangelegd om andere netwerkstations te bereiken en te exploiteren.
SAINT (Security Administrator’s Integrated Network Tool) is een netwerkscanner die zoekt
naar kwetsbaarheden waarop kan worden ingebroken. Zowel interne als externe aanvallen
kunnen worden gesimuleerd om de robuustheid van het doelsysteem te bepalen. Alle
diensten die op een netwerk worden aangeboden worden getest op inbraakgevoeligheid,
mogelijkheden om de toegang tot deze diensten te blokkeren en op de kans om gevoelige
informatie te vervreemden. De gevonden kwetsbaarheden kunnen op verschillende
manieren worden gecategoriseerd: naar ernst, type of hoeveelheid. SAINT controleert niet
alleen of er kan worden ingebroken op de poorten van de computers van een netwerk, maar
kan ook DOS-aanvallen uitvoeren en gevoelige informatie stelen.
Wireshark is een opensource softwarepakket voor het analyseren van

netwerkprotocollen. Het is een krachtige packet sniffer die gebruikt wordt
om gegevens die in een computernetwerk circuleren op te vangen en te
analyseren. Door de netwerkkaart in de promiscue modus te zetten, laat
het programma zien welke gegevens over het netwerk worden verstuurd.
Wireshark ‘begrijpt’ de structuur van honderden netwerkprotocollen en mediatypen. Het
geeft niet alleen de geneste protocollen weer, maar ook de inhoud van de velden die door
deze netwerkprotocollen zijn gespecificeerd. Met plug-ins kunnen nieuwe protocollen
worden ontleed.
Systeembeheerders gebruiken dit programma om de meest uiteenlopende

netwerkproblemen op te lossen. Wireshark wordt ook gebruikt in cyberforensisch onderzoek
naar virussen en spyware. In 2009 werd Wireshark bijvoorbeeld gebruikt om het
spionagenetwerk GhostNet op te sporen [IWM 2009:15], waarmee ook een Nederlandse
NAVO-basis werd afgeluisterd.
Metasploit is een geavanceerd opensource Metsploit werd in 2004 gelanceerd. In 2009

werd het programma overgenomen door
beveiligingsprogramma dat de kwetsbaarheden van
Rapid7 en heeft nu ook een aantal
computersystemen in kaart brengt. Het is een commerciële varianten: Metasploit Pro,
platform voor het ontwikkelen, testen en gebruiken Metasploit Express en Metasploit Community.
van exploitcode die misgebruik maakt van kwetsbaarheden van computernetwerken om
daarop in te breken. De penetratietester maakt de testaanvallen onzichtbaar voor antivirus

software en voor Intrusion Detection / Prevention systemen (IDS/IPS).
Aan dit bouwpakket voor hackers worden telkens nieuwe modules toegevoegd. Medio 2012
werd er bijvoorbeeld een module toegevoegd waarmee de veiligheid van
beveiligingscamera’s getest kan worden. Veel camera’s die voor video surveillance worden
gebruikt zijn kwetsbaar en kunnen door kwaadwillenden op afstand worden overgenomen.
Zij kunnen dan niet alleen live meekijken, maar ook de camera besturen en het opgeslagen
archiefmateriaal bekijken [Security, 18.5.12]
Metasploit heeft ook diverse modules —zoals modicon_command en modicon_stux_transfer

— waarmee kwetsbaarheden van procescontrolesystemen (PCS/SCADA-systemen) getest en
geëxploiteerd kunnen worden [Scadahacker]. Bij de analyse van de werking van de bekende
Stuxnet-worm zullen we zien welke gevolgen dergelijke exploitaties kunnen hebben.
FinFisher - offensieve informatievergaring

FinFisher is een zeer krachtig en geraffineerd
spionagewapen dat door het Britse
softwarebedrijf Gamma Group wordt
ontwikkeld en dat uitsluitend verkocht wordt
aan opsporingseenheden van overheden voor In dit promo-filmpje op YouTube is te zien
surveillance in het digitale domein. hoe het systemen en apparaten overneemt.
FinFisher is een uitgebreid pakket met offensieve technieken voor informatievergaring:

afluisteren op afstand, infecteren en controleren van computers en smartphones en het
meelezen met verzonden en ontvangen berichten (ook wanneer deze gecodeerd zijn). Er
worden kwaadaardige hackingtechnieken gebruikt waarmee inlichtingendiensten informatie
vergaren die ze erg moeilijk op legale wijze kunnen verkrijgen [OWNI, 32.10.12].
De FinUSB Suite bestaat uit een ‘headquarter notebook’ en tien kleine USB-sticks die
speciaal ontworpen zijn om gebruikersnamen en wachtwoorden te kapen en om de laatst
geopende of gewijzigde bestanden te stelen. De spyware verzamelt in ongeveer 20
seconden de geschiedenis van bezochte sites, instant messages en de inhoud van de
prullenmand. De USB-stick weet door eventueel beschermende wachtwoorden heen te
breken en laat geen enkel spoor na. Kosten: 13.080 euro [Brochure; Video].
Met de FinIntrusion Kit kunnen de beveiligingsmechanismen van draadloze netwerken zoals

Wifi worden doorbroken. Zelfs als het doelwit SSL gebruikt —het protocol voor beveiligde
communicatie op het internet— dan kunnen heimelijk zowel het webmailverkeer als de
sociale netwerken worden gemonitord. Kosten: 30.600 euro; [Brochure; Video;

Specificaties; Handleiding; Produkt Training]. Wie op nationaal niveau wil spioneren gebruikt
de FinFly ISP, waarmee de internetproviders zelf worden geïnfiltreerd [Brochure; Video].
De FinSpy PC is een professioneel Trojaans paard dat gebruikt wordt om doelwitten te

observeren die regelmatig reizen, hun communicatie encrypteren, anoniem surfen en die
vaak in buitenland verblijven. FinSpy PC werkt op alle grote besturingssystemen (Windows,
Mac en Linux) en wordt door de veertig meest gebruikte virusscanners niet herkend. Alle
communicatie (e-mail, Skype, VoIP, bestandstransfer, wifi) en alle internetactiviteiten
kunnen in real time worden afgeluisterd en kan ook het eventuele tweede beeldscherm
automatisch worden afgekeken. FinSpy biedt volledige toegang tot alles wat er op de
harddisk van de computer staat, inclusief bestanden in de prullenbak en crypto containers.
Desgewenst kunnen webcam en microfoon op het apparaat van het doelwit worden
aangezet [Brochure; Video; Specificaties; Handleiding; Installatie & Training; Product
Training; Antivirus Test]. FinSpy PC kost 202.200 euro.
Met FinSpy Mobile kunnen alle typen smartphones WhatsApp gekraakt

Met de nieuwste versies van FinSpy Mobile
en tablets (iPhone, BlackBerry, iOS, Symbian,
wordt ook de ge�ncrypteerde databank van
Android en Windows Mobile) worden afgeluisterd, WhatsApp automatisch ontsleuteld
[FinSpyMobile 4.51].
zelfs als de communicatie is geëncrypteerd. Alle
typen communicatie kunnen worden geregistreerd of direct afgeluisterd:
telefoongesprekken, SMS, MMS enz. Alle gegevens die op een mobiel apparaat van het
doelwit staan (contacten, kalenders, foto’s, bestanden) zijn toegankelijk. Door ‘silent calls’
kan op afstand naar de microfoon geluisterd worden. Uiteraard is de geografische locatie
van het apparaat op elk tijdstip bekend [Brochure; Video; Handleiding; FinSpyMobile 4.51].
FinSpy Mobile wordt verkocht voor 202.200 euro.
De FinFly Web is een instrument om een webpagina te maken waardoor de computers van
alle bezoekers met de spyware worden besmet. In de handleiding wordt uitgelegd hoe
doelwitten naar zo’n webpagina kunnen worden gelokt en hoe ze kunnen worden verleid om
een bestand te downloaden dat afkomstig lijkt te zijn van een bekend softwarebedrijf, zoals
een plug-in van Flash of RealPlayer of een Java-applet. Daarbij wordt nadrukkelijk vermeld
dat het programma zeer geschikt is om dissidenten te infecteren die websites bezoeken die
de overheid onwelgevallig zijn [Brochure; Video]. Kosten: 36.600 euro.
Het is niet verbazingwekkend dat FinFisher zeer populair is in repressieve regimes. In het
hoofdkwartier van de staatsveiligheidsdienst vonden Egyptische demonstranten op 6 maart
2011 een offerte om voor € 287.000 FinFisher te kopen [F-Secure, 8.3.11]. In april en mei
2012 bleek dat ook in Bahrein de spyware via lokmails naar activisten was verstuurd om

hen af te luisteren [Citizenlab, 25.6.12; Bloomberg, 25.6.12; Security, 9.8.12]. De

spionagesoftware van Gamma wordt gebruikt voor het opsporen en afluisteren van
dissidenten en is in ieder geval ook in handen gekomen van de staatsveiligheidsdiensten
van de Verenigde Arabische Emiraten, Quatar, Ethiopië, Mongolië en Turkmenistan [zie het
overzicht van FinFisher klanten; zie ook de prijslijst van Gamma producten].
Schending van mensenrechten & illegale export van spyware

In 2012 identificeerd het Citizen Lab van de Universiteit van Toronto de eerste kopie�n van FinFisher in de
e-mails die verstuurd waren naar Bahrain Watch lid Ala’a Shehabi en twee andere Bahreinse activisten in
Washington en Londen.
In februari 2013 diende Bahrain Watch samen met vier andere internationale mensenrechtengroepen een
klacht in tegen Gamma bij de OECD (Organisation for Economic Co-operation and Development) voor het
verbreken van haar richtlijnen over mensenrechten door het exporteren van haar software naar de
overheid van Bahrein. Tegelijkertijd verzocht de mensenrechtengroep Privacy International de
douaneafdeling van Groot-Britanni� om Gamma te onderzoeken voor het potentieel illegale export van
spyware naar Bahrein. Begin 2014 tikte het hooggerechtshof de overheid hard op de vingers voor het
verbergen van details in deze kwestie [Privacy International, 12.5.214].
Gamma heeft altijd ontkend dat zij spyware aan de regering van Bahrein heeft verkocht. Maar er zijn te
veel bewijzen van het tegendeel [BahrainWatch, 7.8.14].
Programma’s voor beveiligingscontrole en penetratietesting kunnen nog zo geavanceerd zijn,

uiteindelijk zijn het de mensen die computersystemen bedienen (humanware) die bepalen of
die systemen effectief beveiligd worden of wanneer de kwetsbaarheden daarvan daadwerkelijk
worden geëxploiteerd.
Wachtwoorden kraken
a. Standaard wachtwoorden
Het is verbazingwekkend hoe gemakkelijk het cybercriminelen vaak gemaakt wordt. Heel vaak
vergeten gebruikers of systeembeheerders het standaard wachtwoord van een nieuw
informatiesysteem te wijzigen. Een crimineel hoeft dan alleen maar de handleiding van zo’n
systeem te bemachtigen.
Op die manier kreeg bijvoorbeeld in 2011 een hacker toegang tot de watervoorziening in Houston
(Texas). Hetzelfde gebeurde in 2012 met het Cisco-vergadersysteem bij het Nederlandse ministerie van
Defensie. Het standaard fabriekswachtwoord van het communi�catie��systeem stond in de online
handleiding. Na een tip van de hackersgroep «Anonymous» werd het lek gevonden door
beveiligingsexpert Rickey Gevers. Hij opende de inlogpagina van een topman bij de Defensie Materieel
Organisatie (DMO) met de rang van comman�deur. Op die manier kreeg hij een aantal IP-adressen en
telefoon�nummers van kazernes en kantoren, vermoedelijk ook van het Nationaal Crisis Centrum
[Volkskrant, 23.02.12; Hulsman 2012].
Herhaaldelijk is gebleken dat ook op eenvoudige wijze kan worden ingebroken op

procescontrolesystemen (zoals SCADA) waarmee industri�le machines en nuts�voorzieningen
worden aangestuurd. Deze systemen werden gebouwd om veilig achter stenen muren hun

werk te doen. Door hun verbindingen met het internet is deze stenen beveiliging echter
waardeloos geworden. Bij inbraak wordt gebruik gemaakt van de kwetsbaarheid van de
methode van identificatie en autorisatie. De standaard wachtwoorden kunnen meestal
gemakkelijk worden gevonden in online documentatie of in online opslagplaatsen voor
standaardwachtwoorden.
In januari 2013 publiceerden twee Russische beveiligingsonderzoekers, Alexander Timorin

en Dimitry Sklyarow, een instrument voor het kraken van wachtwoorden waarmee het
verkeer binnen SCADA-omgevingen wordt beveiligd. Het Siemens S7-protocol regelt de
communicatie tussen SCADA-systemen en PLC, HMI (human-machine interface) en
engineering stations. Om de inhoud van dit verkeer te beschermen ondersteunt dit
protocol het gebruik van wachtwoorden. Als een aanvaller erin slaagt het TCP/IP-verkeer
te onderscheppen, kan met dit instrument het gebruikte wachtwoord kraken [SCADA
Strangelove]. Dr. Strangelove
b. Voor de hand liggende wachtwoorden raden

Mensen gebruiken wachtwoorden die ze gemakkelijk kunnen onthouden. Maar juist daarom
kunnen ze ook makkelijk worden geraden door wachtwoordkrakers. De meest voorkomende
wachtwoorden zijn ‘password’ en ‘123456’ [Burnett 2011]. Verder wordt er vaak gebruik
gemaakt van de eigennaam van de gebruiker en van namen van echtegenoten, familieleden,
geboorteplaatsen, voetbalteams, automerken of huisdieren.
Uit onderzoek blijkt dat bijna de helft van de medewerkers de wachtwoorden kent van directe
collega’s. 91% van de mensen gebruikt een wachtwoord van de lijst met 1.000 meest populaire
wachtwoorden. Bovendien gebruiken veel mensen hetzelfde wachtwoord voor verschillende
informatiesystemen. Slimme crackers weten dat en maken daar vaak handig gebruik van.
Voor een reep chocola

Kantoormedewerkers blijken nog altijd snel bereid om hun pc-wachtwoord prijs te geven. Meer dan 70 procent
doet dat zelfs in ruil voor een chocoladereep.
In het jaarlijkse onderzoek ter gelegenheid van de InfoSecurity-beurs in Londen ondervragen de onderzoekers
aan de vooravond hiervan kantoormedewerkers op een druk metrostation in de hoofdstad.
In 2003 bleek de overgrote meerderheid zijn wachtwoord te geven voor een pen. In
2004 was de beloning een chocoladereep. 71 procent was bereid de geheime
informatie te overhandigen, waarvan meer dan de helft zonder enige aarzeling.
Meer dan 34% van de respondenten stond zelfs vrijwillig het wachtwoord af zonder
omkoping. Hen werd alleen gevraagd of het wachtwoord iets te maken had met een
huisdier of de naam van de kinderen [BBC News].
c. Kraken met woordenboeken

Cybercriminelen kunnen de identiteit van een slachtoffer achterhalen en hun gebruikersnamen
en wachtwoorden proberen te raden. Hiervoor is speciale software beschikbaar die razendsnel
alle combinaties van bekende gebruikersnamen en wachtwoorden uitprobeert. Deze

wachtwoordkrakers maken gebruik van woordenboeken die vaak gebruikte wachtwoorden

bevatten.
Versleutelde wachtwoorden kunnen door sitebeheerders en dus ook door inbrekers weer
leesbaar worden gemaakt. Bij gehashte wachtwoorden kan dat niet direct. Om gehashte
wachtwoorden te achterhalen wordt elk woord uit het woordenboek gehasht met behulp van
het door het doelsysteem gebruikte cryptografische hash algoritme. Wanneer het resultaat
daarvan overeenkomt met de hashcode van het gezochte wachtwoord, dan is het wachtwoord
gekraakt [Hash Code Cracker].
d. Kraken met brute computerkracht

Bij de methode van de brute kracht wordt Multitasking
Omdat computers steeds sneller worden, kunnen
uitsluitend de rekenkracht van een computer
zij steeds meer wachtwoorden per seconde
gebruikt om wachtwoorden te achterhalen zonder testen. De gratis wachtwoordkraker Hashcat kan
8 miljoen wachtwoorden per seconde testen.
dat er gebruik gemaakt wordt van slimme
Andere populaire wachtwoordkrakers zijn Cain
algoritmen (instructies) of heuristieken and Abel, John de Ripper, THC-Hydra, DaveGrohl
(zoekregels) om deze berekening te versnellen. en ElcomSoft.
Alle mogelijke opties worden uitgeprobeerd totdat de gebruikersnaam en/of het wachtwoord
gevonden wordt dat toegang biedt tot een computersysteem of netwerk. Deze methode is
weliswaar inefficiënt en zeer tijdrovend, maar als alle mogelijke combinaties van beschikbare
tekens worden uitgeprobeerd is ze 100% trefzeker.
Stel dat een computer 3 miljoen wachtwoorden per seconde kan raden. Dan kan de geschatte
maximumtijd om een wachtwoord te vinden worden berekend met de volgende formule:
seconden = karakterposities/3.000.000
De tijden die nodig zijn om wachtwoorden te raden met de methode van de brute rekenkracht
zien er dan als volgt uit.
Maximaal
Samenstelling Aantal tekens Benodigde tijd
aantal posities
Kleine letters van alfabet

26+10=36 6 725,6 seconden = 12,1 minuten
+ alle cijfers
Alle karakters op toetsenbord 95 6 68 uur = 2,8 dagen
Alle karakters op toetsenbord 95 8 25.594 dagen = 70 jaar
De gemiddelde zoektijd naar een wachtwoord wordt meestal binnen de helft van de doorlopen
zoekruimte gevonden. In de praktijk kan de berekende de zoektijd dus door twee worden
gedeeld.

De zoektijd word nog korter als men meerdere computers gebruikt. Met deze techniek van
parallellisatie wordt de rekentaak verdeeld over meerdere afzonderlijk opererende computers
tegelijk. In plaats van één voor één de mogelijkheden te proberen doen meerdere computer
dat tegelijkertijd. Het probleem wordt in stukken opgesplitst en aan meerdere computers
toegewezen. Op die manier kan bij het kraken van een wachtwoord met 8 posities met een
systeem van 100 processoren de tijd van 70 jaar worden teruggebracht naar 70/100 jaar = 8,4
maanden.
Als het rekenwerk tussen de computers goed wordt gecoördineerd om dubbelwerk te

voorkomen, kan de zoektijd nog verder worden verlaagd. Deze techniek van distributed
computing wordt onder andere gebruikt voor het Seti-project waarin gezocht wordt naar
buitenaardse intelligentie en het Climateprediction.net dat onderzoek doet naar de opwarming
van de aarde.
Robuuste wachtwoorden?
Volgens een rapport van Deloitte, Canadian Technology, Media & Telecommunications (TMT) Predictions 2013,
kan meer dan 90% van de wachtwoorden van gebruikers binnen een paar seconden worden gekraakt. Nog niet
zo lang geleden werden wachtwoorden van minstens 8 tekens (met een nummer, met kleine en grote letters,
en met symbolen) als robuust gezien. Door de snelle ontwikkeling van hard- en software is dit inmiddels
achterhaald. Met de juiste apparatuur en software kan een wachtwoord met 8 tekens nu binnen vijf uur
worden gekraakt.
De Amerikaanse inlichtingendiensten NSA werkt aan de ontwikkeling van een supercomputer waarmee het
bijna alle vormen van encryptie kan kraken [Washington Post 2.2.14]. Uit de door klokkenluider Edward
Snowden gelekte documenten blijkt dat de bouw van een kwantumcomputer onderdeel is van een geheim
onderzoeksproject met de naam Penetrating Hard Targets. De NSA heeft voor dit project bijna 80 miljoen
dollar uitgetrokken. Gewone computers werken met bits, die enkel de waarde 0 of 1 kunnen hebben.
Kwantumcomputers werken met kwantumbits (ook wel qubits), die gelijktijdig een 0 en een 1 kunnen zijn. De
klassieke computer kan één berekeing per keer doen terwijl een kwantumcomputer in staat is om parallel te
rekenen — ze voert tegelijkertijd bewerkingen uit op alle oplossingsmogelijkheden. Een kwantumcomputer kan
berekeningen die onnodig zijn voor het oplossen van een probleem vermijden en is daardoor in staat om veel
sneller het juiste antwoord te vinden.
e. Slim kraken met gefundeerde inschattingen

Mensen ontwerpen hun wachtwoorden volgens een bepaald patroon. Bijvoorbeeld een
combinatie van een naam en een jaar. Anders dan een brute-kracht methode maakt de mask
attack op slimme wijze gebruik van deze patronen om de zoektijd naar het wachtwoord te
bekorten. Het is bijvoorbeeld gebruikelijk om een hoofdletter op de eerste posite te zetten. De
mask-methodiek maakt gebruik van deze informatie om het aantal combinaties te beperken
[Hashcat].
Akoestische penetraties: afluisteren

Penetratietesten kunnen ook op telefoonsystemen worden uitgevoerd. Er zijn programma’s die

niet alleen telefoonsystemen verkennen, classificeren en controleren, maar ook

bedrijfstelefooncentrales (PBX), modems, faxen, voicemail boxes, kiestonen, interactive voice
response (IVR) en forwarders.
Een van de meest geavanceerde softwarepakketten voor het In zijn lezing over
acoustic intrusions
afluisteren is het door HD Moore ontwikkelde WarVOX.
legt HD Moore de
Beveiligingscontroleurs en penetratietester kunnen daarmee achtergronden en
werking van
op een snelle en goedkope manier zoeken naar
WarVOX uit.
kwetsbaarheden van het eigen telefoonsysteem. Via Voice-
over-IP-lijnen (internettelefonie) kunnen hele series
telefoonnummers worden geïnspecteerd. In de database wordt opgeslagen wie of wat de
telefoon op elk nummer heeft beantwoord. Door het gebruik van VoIP wordt wardialing minder
duur en minder tijdrovend.
Bellen via internet

VoIP staat voor “Voice over IP”. De stem wordt via internet verstuurd in plaats van de telefoonlijnen. Bellen
via internet is aanzienlijk goedkoper dan bellen via de vaste koperlijn of via digitale zendmasten.
WarVOX vereist geen telefonische hardware. Op een breedbandverbinding met een typische
VoIP-account kan WarVOX meer dan 1.000 nummers per uur scannen. Er kunnen zo’n tien
lijnen tegelijkertijd worden gebeld en van elk antwoord worden de eerste 20 seconden
vastgelegd. Met deze audiobestanden worden niet alleen alle verbindingslijnen met modems in
een bepaald gebied in kaart gebracht, maar alle communicatielijnen. Het programma
classificeert alle telefoonverbindingen in een specifiek gebied en maakt daardoor een
omvattende controle op een telefoonsysteem mogelijk.
WarVOX is eenvoudig te gebruiken en levert een schat aan beveiligingsinformatie voor

organisaties die belang hebben bij veilige telefoonverbindingen én voor organisaties die belang
hebben bij het afluisteren van die schijnbaar veilige mobiele communicatie.
Wardialing
«Wardialing» is een techniek waarbij een computer telefoonnummers binnen een gebiedscode of bedrijf
systematisch afbelt om zo een modem of een ander toegangspunt te ontdekken waarlangs een hacker of
cracker het netwerk kan binnendringen.
Bij wardialing wordt een onbekend nummer gebeld en De naam voor deze techniek is ontleend aan de film
gewacht tot de beltoon een of twee keer overgaat. WarGames uit 1983. Op zoek naar nieuwe
Computers nemen meestal al bij het eerste signaal op. computerspelletjes programmeert daarin een jonge
Als het belsignaal twee keer is verzonden, wordt er hacker zijn computer om alle telefoonnummers in
opgehangen en wordt het volgende nummer gebeld. Sunnyvale (Californië) te bellen om andere
Als een modem of faxmachine reageert dan noteert het computers te vinden. Per ongeluk komt hij zo ook in
programma het nummer. Als een persoon of de oorlogscomputer van het ministerie van Defensie
antwoordapparaat reageert dan wordt er opgehangen. [Ryan 2004].
In 2002 claimde een hacker dat 90 procent van de bedrijven via modemverbindingen kon worden aangevallen.

Dat is tegenwoordig heel anders. In het breedbandtijdperk is het traditionele wardialing op z’n retour.
Tegenwoordig leidt slechts 4 procent van de telefoonnummers naar een modem. Toch blijft wardialing bij
penetratietesters populair. Dat komt vooral omdat sommige infrastructurele voorzieningen nog steeds gebruik
maken van onveilige modems als onderdeel van hun SCADA-netwerk.
Wardriving
«Wardriving» is het zoeken naar draadloze netwerken (WiFI) vanuit een rijdend
voertuig met behulp van een laptop, tablet of smartphone. Met brute kracht
worden alle draadloze computernetwerken opgespoord en met behulp van GPS in
kaart gebracht. De hiervoor benodigde software is vrij verkrijgbaar. Varianten
hierop worden vernoemd naar het vervoermiddel dat gebruikt wordt om draadloze
netwerken in kaart te brengen: warflying, warrailing, wartraining, warbiking, en
uiteraard warwalking en warjogging.
Digitaal afluisteren richt zich in het bijzonder op mobiele communicatie en op telefooncentrales

van particuliere bedrijven en instellingen. Het voordeel van het gebruik van een eigen PBX
(Private Branch eXchange) is dat een organisatie niet al zijn telefoons op het publieke
telefonienetwerk (PSTN) hoeft aan te sluiten. Op het publieke telefoonnet is voor elk toestel
een aparte lijn vereist en worden interne gesprekken eerst naar buiten gestuurd worden, om
dan even later terug binnen te komen. Maar ook PBX-systemen hebben veiligheidslekken die
een onderneming in gevaar kunnen brengen. PBS-systemen zijn vaak zwak beveiligd tegenover
nieuwsgierige concurrenten, afluisterende staatsinstellingen of kwaadaardige aanvallen van
buitenaf. “Veel organisaties hebben een beleid met betrekking tot wachtwoorden of andere
authenticatie certificaten voor de toegang tot computersystemen, maar schieten te kort bij PBX
of voicemail systemen” [Mitnick/Simon 2005:136].
Inlichtingendiensten gebruiken diverse technieken om Een bekende techniek om de interne relaties

van een organisatie in kaart te brengen is om
in te breken in mobiele, draadloze en vastelijn
alle werknemers van een bedrijf mobiel te
communicaties. Het aftappen van telefonische bellen en hun stem op te nemen. Vervolgens
worden alle telefoonnummers van het bedrijf
communicatie kan zich richten op diverse doelen: het
gebeld en wordt eveneens de stem van de
afluisteren van gesprekken, het inbreken op de gebelde vastgelegd. Door vergelijking van alle
voicemail, het bepalen van interne organisatorisch audiofragmenten kunnen alle werknemers
automatisch worden geïdentificeerd. WarVOX
relaties, het identificeren van doelwitten voor is hiervoor een uitstekend instrument.
impersonatie of het achterhalen van wachtwoorden.
Aftappen van telefoon

In Nederland wordt de telefoontap veel frequenter ingezet dan in andere landen. Per Jaar Aantal telefoontaps
dag lopen er in Nederland bijna evenveel telefoontaps als in de VS in een heel jaar. Vast Mobiel Totaal
In 2008 liepen er dagelijks gemiddeld 1946 taps [Tapstatistieken 2008]. In 2012
1993 3.610 0 3.610
werden ruimt 25.000 telefoons afgetapt. De statistische kans dat een Nederlandse
1994 3.284 0 3.284
burger onder de tap komt is 177 keer groter dan bij een Amerikaanse burger.
1998 3.000 7.000 10.000
Daar staat tegenover “dat andere bijzondere opsporingsmiddelen, zoals infiltratie 2007 3.997 20.985 24.982
door undercoveragenten, of opnemen van vertrouwelijke informatie door middel van 2008 2.642 23.783 26.425
microfoons, juist minder vaak in Nederland worden ingezet” [Odinot e.a 2012; 2009 3.461 21.263 24.724
2010 22.006

WODC 2012]. Omdat criminelen weten dat ze worden afgeluisterd, levert dit echter Bron: Odinot e.a. 2012:82
zelden direct bewijs op voor misdaad [WODC, 2012].
Het afluisteren en manipuleren van mobiele communicatiesystemen (smartphone, tablet en

laptop) neemt sterk toe. De transmissie van digitale informatie verloopt over slecht of zelfs
helemaal niet beveiligde kanalen en de software is nauwlijks beveiligd. Voor cyberhackers zijn
PC’s nog steeds laaghangend fruit. Maar omdat het gebruik van mobiele platforms sterk
toeneemt, ontwerpen virusmakers steeds meer malware die in staat is om je telefoon over te
nemen, te exploiteren, af te luisteren.
BlackShades: een RAT van formaat

BlackShades is geavanceerde malware waarmee cybercriminelen op afstand volledige controle
kunnen krijgen over de computer van een slachtoffer. Het is een Remote Access Tool (RAT)
waarmee criminelen persoonlijke informatie kunnen stelen, toetsaanslagen onderscheppen en
webcams aan kunnen zetten om heimelijk computergebruikers te observeren. Het kan ook
gebruikt worden om grootschalige DDoS-aanvallen te faciliteren en om bestanden te
versleutelen om daarmee losgeld te vragen van de slachtoffers. De RAT bevatte ook
instrumenten (zogenaamde spreaders) om het aantal infecties te maximaliseren. Tenslotte kan
het BlackShages-progrmma in zichzelf modificeren om antivirus software te misleiden. Uit de
functies van BlackShades en de gebruiksaanwijzing blijkt dat deze malware ontworpen is om
cybercrime mee te plegen. De handleiding bevat zelfs een conceptbrief waarmee losgeld kan
worden afgedwongen bij slachtoffers waarvan de computer is gegijzeld. In mei 2014 had
BlackShades meer dan een half miljoen computers in meer dan honderd landen ge�nfecteerd.
BlackShades werd al sinds 2010 voor $40 tot $100 legaal verkocht aan duizenden mensen, die
gezamenlijk voor een verkoop zorgde van meer dan $350.000. Het product werd verkocht via
druk bezochtte hackersfora. Je hoeft geen geavanceerde hacker te zijn om met dit instrument
ravages aan te richten. Met de grafische interface krijgen gebruikers een snel overzicht over
alle computers die zij hadden ge�nfecteerd, inclusief IP-adressen, naam en besturingssysteem
van de computer, het land waar de computer staat en of de computer een webcamera had.
“Blackshades was a tool created and marketed principally for buyers who wouldn�t know how
to hack their way out of a paper bag (...) Many of the customers of this product are teenagers
who wouldn�t know a command line prompt from a hole in the ground” [Brian Krebs, in: Krebs
on Security, 14.5.14]. Op een zeer actief gebruikersforum konden klanten hulp krijgen bij het
configueren en hanteren van het krachtige surveillance-instrument.
Na maanden van strafrechtelijk onderzoek door Smeerlapperij

In een eerder onderzoek naar BlackShades
politie- en opsporingsinstanties in Europa, Amerika en
arresteerde de Nederlandse politie in oktober

Azi� werden in 16 landen 97 mensen gearresteerd 2013 een 18-jarige man uit Rotterdam. Hij
verspreidde de RAT vooral via ge�nfecteerde
die ervan verdacht werden de kwaadaardige software plaatjes op sociale media over ongeveer 2.000
te verspreiden. Daaronder was ook de eigenaar van computers. De BlackShades RAT gebruikte hij
om bestanden te stelen en om foto’s te nemen
BlackShade, een 24-jarige Zweed Alex Y�cel. In 13 van vrouwen en meisjes binnen het gezicht
Europese land — Belgi�, Croati�, Denemarken, van webcams. Ook publiceerde hij g�nante of
zelfs pornografische beelden op de social
Duitsland, Engeland, Estland, Finland, Frankrijk,
media-accounts van zijn slachtoffers
Itali�, Moldavi�, Nederland, Oostenrijk en [Webwereld, 13.12.13].
Zwitserland — alsmede in de VS, Canada en Chili— deed de politie huiszoekingen op 359

lokaties waarbij geld, wapens, drugs en meer dan 1.000 gegevensdrages in beslag genomen
[OM, 14.4.14].
In Nederland viel de politie binnen op 34 adressen en werd beslag gelegd op 96 computers en

laptops, 18 mobiele telefoons, 87 USB sticks en harde schijven en 55 andere gegevensdragers.
De wereldwijde actie werd geco�rdineerd door Eurojust in Den Haag. Koen Hermans, de
Nederlandse vertegenwoordiger in Eurojust benadrukte het belang van deze operatie: �Deze
zaak toont maar weer eens aan dat niemand die gebruikmaakt van internet veilig is. Van deze
operatie moet een afschrikkende werking uitgaan voor diegenen die deze software
vervaardigen en gebruiken” [Europol, 19.5.14; Washington Times, 19.5.14].
De grootste hack van CyberVor

De Russische hackersgroep CyberVor ontvreemdde ‘Vor’ is het Russische woord voor dief, maar
wordt ook gebruikt als eretitel voor een lid van
vertrouwelijk materiaal van zo’n 420.000 websites en
de Russische maffia.
FTP-sites van bedrijven in de hele wereld. De bende
richtte zich op elke website die zij konden kraken, van Fortune 500-bedrijven tot kleine
websites. De oogst was enorm: 4,5 miljard accountgegevens, gekoppeld aan 1,2 miljard unieke
namen en wachtwoorden en 500 miljoen unieke e-mailadressen.
De diefstal werd in augustus 2014 ontdekt door het Amerikaanse beveiligingsbedrijf Hold
Security [NYT, 5.8.14]. Maar de namen van de bedrijven waar de informatie is gestolen zijn
niet bekendgemaakt. Evenmin wilde Hold Security zeggen wat voor gegevens de dieven precies
hadden bemachtigd. Bedrijven kunnen aan Hold Security vragen of zij slachtoffer zijn van deze
en andere hacks. Maar voor deze Breach Notification Service moeten wel minstens 120 dollar
per jaar betalen. Voor particulieren is het abonnement de eerste zestig dagen gratis [Hold
Security, 5.8.2014]. HERLEZEN EN CHECK
De beveiligsspecialisten namen de berichten van Hold Security met een korreltje zout. Zij
vroegen zich af waarom Hold Security haar gegevens niet openbaar maakte. Was de grootste

hack ter wereld in werkelijkheid geen grote marketingstunt van Hold Security? [Data Breach
Today, 7.8.14]. Gebruikt Hold Security de gestolen gegeven om er op zijn beurt geld mee te
verdienen?
“Hold Security cre�ert angst en bied een betaalde dienst die de angst kan helpen wegnemen. Dat riekt naar
maffiapraktijken” [Matthijs Koot, IT-beveiligingsspecialist in: VK, 12.08.2014].
@@@ Hold Security is een in Milwaukee gevestigd bedrijf van de Oekra�ner Alex Holden. Het is een wat
schimmig bedrijf. De foto van het managementteam blijkt gewoon een stockfoto, te koop bij een online
fotowinkel onder de titel 'CEO met zijn team'. De foto staat bij tientallen bedrijfjes wereldwijd op de
website.VK, 12.08.2014]. Maar foto nu verdwenen.
De bende kon de data vervreemden door gebruik te maken van een al bekende kwetsbaarheid
die nog steeds in veel websites zit.[UITWERKEN @@]
Het lijkt erop dat er maar weinig persoonlijke informatie is doorverkocht. De bende zou de e-
mailadressen en inloggegevens vooral gebruiken om spam te verspreiden via e-mail en Twitter.
De bende bestaat uit niet meer dan een dozijn hackers (twintigers), afkomstig uit een kleine
stad in het zuiden van het Aziatisch deel van Rusland. In 2011 begonnen zij met het versturen
van spam en het installeren van kwaadaardige redirections op legitieme systemen, op basis
van gekochte databases met persoonlijke gegevens. Initially, the gang acquired databases of
stolen credentials from fellow hackers on the black market. Vanaf april 2014 werd de operatie
opgeschaald en werd er gebruik gemaakt van botnets (een grote groep met virus-
ge�nfecteerde computers die door een crimineel systeem worden gecontroleerd). [Ze
gebruikten botnet om honderduizenden websites te scannen op bekende kwetsbaarheden].
“Meer dan 400.000 sites werden ge�dentificeerd potentieel kwetsbaar te zijn voor een SQL-
injectie" [Hold Security - "Over 400,000 sites were identified to be potentially vulnerable to
SQL injection flaws alone"] In opdracht van de hackers testen de zombiecomputers of de door
hun eigenaar bezochte websites kwetsbaar zijn. Met die informatie konden zij bepalen op welke
sites kon worden ingebroken.
Cyberspionage in Nederland
Ook op het Nederlandse internet opereren buitenlandse spionagenetwerken die inlichtingen
verzamelen. Zij concentreren zich vooral op de gebieden van economisch welzijn &
wetenschappelijk potentieel en openbaar bestuur & vitale infrastructuur. Uiteraard is daarbij
speciale belangstelling voor militaire aangelegenheden.
“Inlichtingenactiviteiten door buitenlandse inlichtingendiensten zorgen niet alleen voor de aantasting van de
soevereiniteit van Nederland; ze veroorzaken ook grote economische schade. Buitenlandse
inlichtingendiensten verrichten in Nederland in het geheim activiteiten om de geopolitieke en economische
positie van hun eigen land te versterken. Ze proberen gevoelige en waardevolle informatie te vergaren om

bijvoorbeeld vooraf inzicht te verkrijgen in het standpunt van Nederland in onderhandelingen met een ander
land. Ook toekomstig beleid van internationale samenwerkingsverbanden waar Nederland deel van uitmaakt,
zoals de Europese Unie, de Verenigde Naties of de NAVO, heeft hun belangstelling” [AIVD, Jaarverslag 2012].
Vanwege zijn kennisintensieve en internationaal georiënteerde economie vormt Nederland een

aantrekkelijk doelwit voor statelijke actoren. Omdat Nederland een knooppunt is in de
internationale infrastructuur wordt digitale spionage niet alleen gebruikt tegen personen en
instellingen in ons land, maar ook tegen personen en instanties in het buitenland.
De AIVD heeft bij diverse digitale aanvallen op Nederlandse doelen sterke aanwijzingen
gevonden voor statelijke betrokkenheid en in sommige gevallen ook specifieke aanwijzingen
over het land van herkomst. Voor 2012 werden in Nederland spionageaanvallen vastgesteld uit
onder meer China, Rusland en Iran. Maar het aantal werkelijke digitale spionage-incidenten is
vermoedelijke vele malen hoger.
GhostNet: van Daila Lama tot NAVO

In maart 2009 werd bekend dat een NAVO-basis in Nederland doelwit was geworden van een
omvangrijk internetspionagenetwerk dat werd aangestuurd met computers die bijna allemaal
te herleiden waren tot Chinees grondgebied [IWM 2009; Deibert 2013:21]. Via GhostNet
werden 1.295 computers in 103 landen geïnfiltreerd. Tot de doelwitten behoorden ministeries,
ambassades en het netwerk van de Dalai Lama. Het spionagenetwerk richtte zich vooral op
Zuid- en Zuidoost-Azië, maar besmette ook een computer op het NAVO-hoofdkwartier in
Brussel.
“Via gerichte e-mails met daaraan geïnfecteerde Word- en pdf-bestanden, infecteerden

hackers computers van ambassades, ministeries en internationale instellingen. Van de
geïnfecteerde computers werd informatie verzameld door documenten te kopiëren en via
webcams en microfoons gesprekken af te luisteren“ [AIVD 2010:38].
Na een onderzoek van tien maanden door de Information Warfare Monitor (IWM) werd het
Trojaanse paard (Ghost RAT) ontdekt. IWM voerde dit onderzoek uit op verzoek van de het
kantoor van de Dalai Lama. Het vermoeden was dat de computers van zijn Tibetaanse
vluchtelingennetwerk was geïnfiltreerd. Na installatie van de malware konden de hackers de
controle over de gecompromitteerde computers overnemen en geclassificeerde gegeven
versturen en ontvangen. Het Trojaanse paard gaf de aanvallers ook de mogelijkheid om elke
toetsaanslag van de geïnfecteerde computers vast te leggen en alle wachtwoorden en
geëncrypteerde communicaties op te vangen. Bovendien konden zij vanaf afstand de audio en
video functies van deze computers aanzetten [BBC News, 29.3.09; The Guardian, 30.3.09: The
Times, 30.3.09; New York Times, 28.3.09; Nagaraja/Anderson 2009; NOS, 29.3.09; Wikipedia:
GhostNet].

Later bleek dat degenen die voor het GhostNet spionagenetwerk zeer waarschijnlijk ook
verantwoordelijk waren voor de hack van het beveiligingsbedrijf RSA [Security.nl, 3.3.12].
Tegenwoordig kan iedereen die dat wil van het internet spionagesoftware downloaden die
dezelfde afluistermogelijkheden biedt als de Ghost RAT. “Met vrij beschikbare en gemakkelijk te
hanteren instrumenten als Ghost RAT zijn we het tijdperk van de doe-het-zelf cyberspionage
binnen getreden” [Deibert 2013:25].
Grote cyberaanval verzwegen

Medio februari 2013 werd bekend dat duizenden De Citadel-malware is gebaseerd op een
exemplaar dat op 6 september 2012 via de
bedrijven en overheidsinstellingen in het najaar van
website van De Telegraaf werd verspreid,
2012 slachtoffer waren van cybercriminelen. Daarbij waardoor de pc’s van bezoekers van deze site
werden aangevallen [NCSC, 7.9.12].
zijn computerbestanden van ministeries, gemeenten,
recherche, rechtbanken, waterschappen, energieproducenten, waterleidingsmaatschappijen,
mediabedrijven, ziekenhuizen, universiteiten, luchtvaartmaatschappijen en andere bedrijven in
handen gekomen van Oosteuropese criminelen. Zo’n 150.000 computers werden met het
Citadel-virus besmet en in totaal 750 gigabite aan data werd gestolen [Surfright; NOS,
14.2.13; Webwereld, 14.2.12]. Alle vitale sectoren van de Nederlandse samenleving waren
besmet met het virus (behalve de nucleaire energie).
Het meest verontrustend was dat het Nationaal Security Centrum (NCSC) al sinds september
2012 precies wist welke organisaties slachtoffer waren van het aan Citadel verbonden Pobelka-
botnet, maar slechts 40 á 50 daarvan had gewaarschuwd.
Toen verslaggever Jeroen Wollaars lucht kreeg van het spionageverhaal ontdekte hij al snel dat
ook de NOS zelf slachtoffer was van de cybercriminelen. Veertien computers van de NOS waren
besmet en de wachtwoorden van 35 medewerkers waren gelekt.
Een woordvoerder van het ministerie van Veiligheid en Justititie beweerde met grote stelligheid
dat er geen computers van de rijksoverheid waren besmet. In werkelijkheid waren er 57
computers van acht verschillende ministeries —waaronder die van Veiligheid & Justitie— door
het virus getroffen. Nadat dit bekend werd, probeerde Minister Opstelten van Veiligheid en
Justitie de burgers gerust te stellen: “Natuurlijk schrikken we daar van, maar we nemen ook de
maatregelen die genomen moeten worden. Wij weten wat we dan moeten doen”. Hij vond het
zelfs “plezierig” dat het NCSC zo “adequaat” had opgetreden [Vrij Nederland, 8.3.13]. Maar dat
was nu precies wat het NCSC niét had gedaan: adequaat optreden. Ook bij de NCSC zelf drong
dit besef langzamerhand door. Een paar dagen later kondige het NCSC aan dat zij samen met
de opsporings- en inlichtingenorganisaties (HCTU, AIVD en MIVD) een onderzoek zou instellen
naar deze spionagecampagne.

Met de informatie die gestolen werd van bijna alle Nederlandse bedrijven zouden alle vitale
infrastructuren op eenvoudige wijze kunnen worden gecyboteerd en zou het maatschappelijk
verkeer bijna volledig kunnen worden stilgelegd.
TeamViewer - TeamSpy
Een van de meest populaire programma's om op afstand op computers in te loggen is TeamViewer. Dit
programma brengt binnen enkele seconden over de hele wereld een verbinding tot stand met elke pc of server.
Meer dan 100 miljoen gebruikers vertrouwen op TeamViewer. Het wordt vooral gebruikt door
systeembeheerders die op afstand de controle over computers van cliënten kunnen overnemen om problemen
op te lossen.
In 2013 bleek dat TeamViewer al tien jaar lang misbruikt wordt om bedrijven, overheidsinstellingen en
activisten te bespioneren [CrySyS,20.3.13]. Dit gebeurt met de malware toolkit TeamSpy. De cyberaanvallers
kunnen via TeamViewer in real time meekijken wat er op de geïcteerde computer gebeurt. TeamViewer werd
gebruikt om bestanden te stelen en om andere kwaadaardige software te installeren [Security.nl, 21.3.13].
In haar jaarverslag over 2012 constateerde de AIVD dat er steeds vaker cyberaanvallen
worden uitgevoerd die een dreiging voor de nationale veiligheid vormen.
“De bedreigingen voor de nationale veiligheid hebben steeds vaker een digitale component.
Internettechnologie wordt op diverse manieren gebruikt om de nationale veiligheid te ondermijnen.
Kwetsbaarheden in computersystemen worden uitgebuit. Digitale aanvallen nemen in aantal, complexiteit en
impact toe.”
Door de technologische ontwikkelingen veranderen die dreigingen razendsnel en zijn daarom

ook steeds lastiger voorspelbaar. Voorlopig manifesteert de dreiging zich vooral in
cyberspionage door andere landen, zoals China, Rusland en Iran. Deze cyberaanvallen worden
steeds complexer en ingenieuzer. De cyberspionnen zijn vooral geïnteresseerd in de
Nederlandse kenniseconomie.
De conclusie van de AIVD is klip en klaar en goed onderbouwd: “Het versterken van de digitale
veiligheid in ons land is een van de grootste uitdagingen waar overheid en bedrijfsleven op dit
moment voor staan. Cybersecurity, digitale veiligheid, is essentieel om de Nederlandse
samenleving en economie draaiend te kunnen houden” [Jaarverslag 2012].
Toekomst van cyberspionage

In de loop der jaren heeft zich een kruisbestuiving voltrokken tussen cyber�spion�nen en
cyber�criminelen. Speervissen is een favoriete tactiek van oplichters die toegang zoeken tot
een bankrekening van een organisatie. Cyberspionnen gebruiken het wanneer hun doelwit in
staat is om zich succesvol te verdedigen tegen verleidelijke bijlagen in e-mails, sms-jes of
tweeds [Stewart 2012].
Cyberspionage door inlichtingen- en veiligheidsdiensten is slechts het begin. Overheden raken

steeds meer betrokken in cyberspionage. In opdracht van overheden wordt cyberspionage

soms uitgevoerd door particuliere beveiligingsbedrijven. Offensief hacken wordt uitbesteed aan
aannemers die met speervissen achterdeurtjes openbreken om bedrijven en instellingen te
bespioneren.
Elektronische spionage verschilt in een opzicht nogal sterk van de spionage uit het pre-internet
tijdperk. Spionage is niet meer het passief afluisteren van een conversatie of het monitoren van
een communicatiekanaal. Cyberspionage betekent dat er actief wordt ingebroken op een
computernetwerk van een tegenstander en het installeren van kwaadaardige software die
ontworpen is om de controle over dat netwerk over te nemen. “Cyberspionage is een vorm van
cyberaanval. Het is een offensieve actie. Het schendt de soevereiniteit van een ander land”
[Schneier, 6.3.14]. In cyberspace is de scheidslijn tussen spionage en geheime militaire
operaties zeer vaag [Mueller 2012:8]. Er zou in ieder geval een duidelijk grens getrokken
moeten worden tussen cyberoperaties die alleen maar clandestien informatie opvangen zonder
het functioneren van computers en netwerken te verstoren, en operaties die het gepenetreerde
netwerk zodanig veranderen dat zij hun functionaliteit veranderen of blokkeren [Hathaway e.a.
2012; Lin 2012].
Begrippen Cyberaanval Cyberexploitatie

Degraderen, ontregelen en vernietigen van Kleinste interventie om gewenste informatie clandestien te
Benadering
aangevallen infrastructuur en verwerven
& intentie
systemen/netwerken
Opzettelijke acties en operaties gericht op het Opzettelijke acties en operaties gericht op het verkrijgen van
veranderen, ontregelen, misleiden, informatie die anders vertrouwelijk zou worden gehouden en
degraderen of vernietigen van die zich bevindt op of getransporteerd wordt via
computersystemen of netwerken van de computersystemen of netwerken van de tegenstander.
Definitie
tegenstander of van programma’s en
informatie die zich daarop bevinden of via
deze systemen or netwerken worden
getransporteerd
Een cyberaanval probeert de Cyberexploitaties zijn meestal clandestien en worden
computersystemen en netwerken van de uitgevoerd met de kleinst mogelijke interventie die het toch
tegenstander onbruikbaar of onbetrouwbaar nog mogelijk maakt om de gewenste informatie te verkrijgen.
Neven-
te maken. Dit kan indirecte gevolgen hebben Cyberexploitaties zijn er niet op gericht om het normale
effecten
voor andere systemen die daaraan gekoppeld functioneren van een computersysteem of netwerk te
zijn of die daarvan afhankelijk zijn. verstoren. De beste cyberexploitatie is er een die door een
gebruiker nooit wordt opgemerkt.
Cyberspionage wordt steeds subtieler en duurzamer. De ‘Turla’-hackers zijn hiervan een

duidelijk voorbeeld. Zij infiltreerden jarenlang in de communicatie- en internetsystemen van
ministeries, ambassades, handelsmissies, militaire producenten en farmaceutische bedrijven
van een groot aantal landen [The Guardian, 7.8.14]. De technische vaardigheden van deze
hackers zijn imposant. Zij maken gebruik van kwetsbaarheden in de software die nog niet
bekend waren (zero-day vulnerabilities). Het zijn softwarelekken die alleen maar ontdekt
kunnen worden wanneer zeer competente hackers er heel veel moeite voor doen om ze te
ontdekken. De malware die de Turla-hackers gebruiken is bijzonder zeldzaam en complex en
stelt hen in staat om netwerken te bespioneren zonder zelf ontdekt te worden. Of de aanvallers
Russisch zijn of alleen maar gebruik maken van Russische identiteiten is nog onbekend

[Reuters, 7.8.14].
Bedrijfsspionage
Bedrijfsspionage gebeurt zowel om politiek-strategische redenen als om commerci�le redenen.

In het eerste geval worden bedrijven die in het ene land gevestigd zijn bespioneerd door
overheidsinstellingen van andere landen. In het tweede geval bespioneren nationaal of
internationaal concurrerende ondernemingen elkaar om bedrijfsgeheimen (offertes, recepten,
patenten, productinnovaties of productiemethoden) van elkaar te stelen, om
aanbestedingstrajecten te ondermijnen, en om onderhandelingen, fusies en overnames te
manipuleren.
Het is moelijk om de schade die door bedrijfsspionage wordt veroorzaakt enigszins nauwkeurig
te schatten. De meestal zeer voorzichtige AIVD suggereerde in haar jaarverslag 2013 “dat de
wereldwijde schade honderden miljarden euro’s bedraagt als gevolg van inkomstenderving,
verlies aan concurrentiepositie en banen, en door de kosten voor beveiligings- en
herstelmaatregelen.” Zolang dit soort suggesties niet worden onderbouwd, blijft het gissen. De
data die voor dergelijke schattingen worden gebruikt zijn gebrekkig, al is het alleen maar
doordat er lang niet altijd melding wordt gemaakt van digitale inbraken [in → Lastige
calculaties wordt dit nader uitgewerkt].
Commerci�le bedrijfsspionage
Commercieel geïnspireerde bedrijfsspionage wordt ingezet om concurrenten dwars te zitten.
Het is de voortzetting van ondernemerschap met illegale resp. criminele middelen.
Bedrijfsspionage is de duistere onderbuik van de globale economie. Er wordt gebruik gemaakt

van zeer geavanceerde technologie en van eeuwenoude technieken van misleiding en
manipulatie. “Zelfs al blijft het grotendeels een verborgen industrie, het particuliere
spionagebedrijf is een integraal onderdeel geworden van de manier waarop ondernemingen
hun zaken in de wereld doen” [Javers 2010:xxi]. Volgens een studie van Campus Wien heeft
meer dan een derde van de ondernemingen te maken hadden met bedrijfsspionage [Shea
2010]. In 29% van deze gevallen ging het om spionage van een binnenlandse concurrent
[Gaycken 2012:110]. Volgens Dave Merkel van het beveiligingsbedrijf FireEye in zelfs 97
procent van de bedrijven geïnfilteerd door cybercriminelen.
Het door de NCSC gepubliceerde Cybersecuritybeeld [juni 2012] laat zien dat ook in Nederland
het aantal incidenten met spionage bij overheid en bedrijven toeneemt. In een brief van
minister Opstelten wordt in maart 2013 zelfs geconstateerd dat de ontwikkelingen op het

gebied van cyberspace zo snel gaan en feitelijke informatie over omvang, daders en
dadergroepen ontbreekt, dat cyberspionage de komende jaren een witte vlek zal zijn.
Soms zijn het ontevreden of gefrustreerde werknemers van de doelonderneming die de

gevoelige informatie stelen en verkopen. Maar zeer vaak geven bedrijven ook hun eigen
informatici opdracht om concurrent te bespioneren, of huren ze hierin gespecialiseerde
detectivebureaus in. Soms wordt er gespioneerd door particuliere ondernemingen die uit
andere markten komen en die door hun nationale inlichtingen- en veiligheidsdiensten worden
ondersteund. In dit geval spelen politiek-strategische belangen een belangrijke rol en neemt
bedrijfsspionage de vorm aan van een «koude cyberoorlog».
Vals spel
Ondernemingen kunnen ook meer drastische maatregelen nemen om hun concurrenten of publieke
tegenstanders aan te vallen. Een voorbeeld daarvan is de Nederlandse internetprovider Cyberbunker tegen de
spambestrijder Spamhaus. Deze in Zwitserland (Geneve) en Engeland (Londen) gevestigde Europese
vrijwilligersorganisatie had Cyberbunker op de zwarte lijst gezet. Op deze lijst staan de internetadressen van
spammers en van criminelen die met lokmails proberen om mensen geld af te troggelen of hun computers met
kwaadaardige software te besmetten. Spamhaus beschermt internetters door deze adressen door te spelen
naar netwerkbeheerders, die vervolgens alle e-mails afkomstig van die adressen automatisch blokkeren.
Dat was niet naar de zin van de Zeeuwse provider die zijn bullet proof servers aan iedereen verhuurt die er
belang bij heeft anoniem te blijven. Zijn clièntele heeft er groot belang bij dat hun actieradius op het internet
niet wordt beperkt door detectiesystemen die spam, fraude en malware buiten de deur houden. In maart 2013
sloeg Cyberbunker —waarschijnlijk in samenwerking met klanten uit Rusland en China— terug met felle en
massieve DDoS-aanvallen op Spamhaus. Om de effectiviteit van de DDoS-aanval te versterken richtten de
cyberaanvallers hun pijlen op het Domain Name System (DNS).
Door deze DNS-amplificatie aanval werden vanuit servers over de hele wereld omvangrijke datapakketten naar
het slachtoffer verstuurd (met een vuurkracht van 300 miljard bites per seconde). De aanvallen waren zo groot
dat ze voor het gehele internet ontwrichtend waren. Miljoenen internetgebruikers merkten dat het internet
langzamer werkte en dat sommige diensten (zoals de Amerikaanse tv-aanbieder Netflix) tijdelijk helemaal niet
bereikbaar waren. Ook het Nederlandse Surfnet, dat onderdak biedt aan enkele servers van Spamhaus, werd
getroffen. De aanvallen waren moeilijk te blokkeren, om dat die DNS-servers niet afgesloten kunnen worden
zonder het internet te blokkeren [Cloudflare, 20.3.13; Ars Technica, 31.3.13; Automatiseringsgids, 27.3.13].
Kern van probleem is dat veel grote internetproviders hun netwerken niet zo hebben opgezet dat zij er zeker
van zijn dat het verkeer dat hun netwerken verlaat daadwerkelijk van hun eigen gebruikers komt. Dit
beveiligingslek is al langer bekend, maar het is pas recent geëxploiteerd op een wijze die de infrastructuur van
het internet bedreigt.
De eigenaar en woordvoerder van Cyberbunker, Sven Olof Kamphuis, verklaarde trots dat dit
de grootste DDoS-aanval was die de wereld tot nu toe gezien heeft [NYT, 26.3.13]. Een dag
later kwam Kamphuis —die ook opereert onder de naam cb3rob— tot andere gedachten: hij ontkende elke
betrokkenheid van Cyberbunker bij deze grootste cyberaanval ooit [BNR, 27.3.13]. Volgens Spamhaus is de
aanval door Cyberbunker georganiseerd in samenwerking met criminele bendes uit Oost-Europa en Rusland.
Op haar website pocht Cyberbunker dat het al eerder doelwit van justitie is geweest. “De Nederlandse
autoriteiten en de politie hebben meerdere pogingen ondernomen om met geweld in de bunker te komen.
Maar geen van deze pogingen waren succesvol”. Cyberbunker is gevestigd in de oude NAVO-bunker in
Kloetinge (Zeeland). De nucleaire bunker werd vanaf 1955 gebruikt voor lokale spionage en contraspionage.
Achter de vijf meter dikke betonnen muren bevind zich een complex van vier etages. In 1996 werd de bunker

verkocht en werd in 1998 omgebouwd tot een veilige data haven met de naam Cyberbunker.
Volgens Arbord Networks, een bedrijf dat gespecialiseerd is in bescherming tegen DDoS-aanvallen is de aanval
van Cyberbunker de grootste aanval die zij ooit gezien hebben. “De grootste DDos-aanval die we eerder gezien
hebben was in 2010, met 100 Gbps (Gigabites per seconde). De sprong van 100 naar 300 is natuurlijk
behoorlijk massief” [Dan Holden, BBC, 27.3.13].
Het Openbaar Ministerie (OM) startte een strafrechtelijk onderzoek naar de massale aanvallen die vanuit de
Nederlandse Cyberbunker zouden worden uitgevoerd [ISPam, 27.3.13]. Het onderzoek wordt uitgevoerd door
Team High Tech Crime (THTC) van de landelijke politie. In Engeland werden vijf nationale afdelingen van de
cyberpolitie ingeschakeld om de aanvallen te onderzoeken [BBC, 27.3.13].
Dreiging met ‘grootste aanval ooit’

Tegen Sven Kamphuis werd een Europees aanhoudingsbevel
uitgegeven. Op 25 april werd hij in Spanje gearresteerd [OM, 26.4.13].
Hij opereerde daar vanuit een bunker en vanuit een busje dat was
uitgerust met verschillende antennes om frequenties te scannen. Met
zijn mobiele computerkantoor kon hij inbreken in netwerken op allerlei
locaties. Tegenover de Spaanse autoriteiten presenteerde Kamphuis
zichzelf als ‘Minister van Telecommunicatie en Buitenlandse Zaken van
de Republiek Cyberbunker’ [AP, 28.4.13]. Volgens het Openbaar
Ministerie zijn er aanwijzingen dat Kamphuis niet alleen
verantwoordelijk is voor de cyberaanvallen op Spamhaus, maar ook op
de later ingezette aanvallen op diverse Nederlandse banken, iDeal, KLM
en DigiD. Sven Olof Kamphuis
Na zijn arrestatie eiste de groep freecb3rob de vrijlating van Kamphuis. Zij dreigde ‘de grootste aanval ooit’ in
te zetten tegen Nederland als hij niet zou worden vrijgelaten [Pastebin, 26.4.13]. De groep verklaarde dat zij
al getest hadden hoe zwak de huidige veiligheid in Nederland is. Zij pochen dat zij erin zijn geslaagd om
binnen enkele minuten banken, luchthavens en zelfd DigiD plat te leggen. “You have been warned”.
Een dag later publiceerde freecbrob een lijst met 10 primaire doelwitten die zij in Nederland wil aanvallen.
Tegenmaatregelen
De DDoS-aanvallen die tussen 23 april en 11 mei op informatiesystemen van de overheid werden uitgevoerd
stimuleerde de Nederlandse regering om meer geld te investeren in het tegengaan van DDoS-aanvallen op
vitale netwerken. Minister Opstelten van Veiligheid en Justitie verklaarde dat het van groot belang is om “de
weerbaarheid tegen het het herstelvermogen na geslaagde DDoS-aanvallen te versterken” [MV&J, 14.5.13].
Het ministerie constateert nuchter dat DDoS-aanvallen een wereldwijd probleem vormen en dat iedereen die
diensten aanbiedt op het internhet hiervan slachtoffer kan worden. Ook de nationale overheid staat dagelijks
bloot aan grotere of kleinere cyberaanvallen die de bereikbaarheid van informatie en diensten blokkeert.
“Dergelijke storingen door digitale verkeersopstoppingen zijn nu en in de toekomst niet te vermijden.

Het is echter wel mogelijk en van groot belang om maatregelen te treffen om de impact te beperken.
Op dit vlak is het nodig de weerbaarheid tegen DDoS-aanvallen te verhogen. Het belang hiervan is des
te groter waar het vitale sectoren, instellingen of voorzieningen betreft die een essenti�le rol in de
samenleving vervullen.”
Er wordt vooral geïnvesteerd in het plaatsen van extra servercapaciteit en het versterken van de alertheid op
nieuwe cyberaanvallen. Het vergroten van de capaciteit van de diensten is een eerste logische stap op DDoS-
aanvallen minder effectief te maken. Bovendien worden er selectiemechanismen (filters) in de servers worden
ingebouwd waardoor het verkeer vanuit een DDoS-aanval gescheiden kan worden van regulier verkeer. In
noodgevallen zal bijvoorbeeld DigiD voor gebruikers in het buitenland tijdelijk worden afgesloten. Als ook dat
onvoldoende is zal de dienst preventief uit de lucht worden gehaald.
Om de veiligheid van vitale voorzieningen in de dienstverlening te waarborgen, moet er ook geïnvesteerd

worden in de beveiliging van ICT en alternatieve kanalen en infrastructuren voor de dienstverlening. De

verantwoordelijkheid voor het verbeteren van die infrastructuur ligt echter bij die particuliere dienstverleners
zelf. De verantwoordelijkheid van het Ministerie wordt geconcretiseerd in het aanstellen van een officier die een
schakel vormt tussen het Nationaal Cyber Security Centrum (NCSC) en de Nederlandse banken.
Om de cyberveiligheid van Nederland te versterken werd het Nationaal Detectie en Response Netwerk versneld
opgebouwd. Een van de prioriteiten is een effectieve aanpak van de botnet warmee DDoS-aanvallen worden
uitgevoerd.
Anti-DDoS Wasstraat
Bij DDoS-aanvallen zijn internet aanbieders veelal direct of indirect het doelwit. De apparatuur of
abonnementen die nodig zijn om dergelijke aanvallen tegen te gaan zijn zeer kostbaar voor middelgrote en
kleinere ISP�s en hostingproviders. Hun klanten zijn niet per se bereid om (mee) te betalen voor een anti-
DDoS voorziening. Daaruit werd het idee geboren om een nationale anti-DDoS voorziening te ontwikkelen.
Het Project Nationale anti-DDoS Wasstraat (NaWas] is een privaat initiatief van een aantal providers die
verenigd zijn in de Nationale Beheersorganisatie Internet Providers (NBIP) om een gezamenlijke voorziening in
te richten om een overvloed aan verkeer te schonen. De anti-DDoS dienst werd op 28 maart 2014 geopend.
NaWas biedt op aanvraag beveiliging tegen DDoS-aanvallen voor middelgrote en kleinere ISP’s. Als een
netwerk van een provider onder een DD0S-aanval ligt, wordt het verkeer omgeleid naar een centraal
opgestelde hoeveelheid anti-DDoS apparatuur. De NaWas reinigt het verkeer van ‘onzin’ en stuurt het schone
verkeer over een apart VLAN van de NL-IX of AMS-IX naar de deelnemende provider terug.
Supermachine van Huawei

Huawei�s paradepaardje is een slimme krachtpatser die in staat is om zelf een DDoS-aanval te detecteren en
binnen enkele seconden te bepalen op welke manier hij deze het beste kan aanpakken. De machine moet zo
zijn afgesteld dat hij het verschil ziet tussen het reguliere internetverkeer en dat van de DDoS-lastpakken. Het
normale dataverkeer van klanten moet uiteraard niet worden tegenhouden [Emerce, 31.10.13].
Bedrijfsleiders van de meerderheid van de grote ondernemingen die een functie vervullen in de
kritische infrastructuren denken dat zij worden aangevallen of bespioneerd door politiek
gemotiveerde aanvallers [Symantic, CIP survey]. Bij bedrijfsspionage die door overheden wordt
georganiseerd, spelen strategische belangen een cruciale rol en kunnen zeer omvangrijke
aanvalsbronnen worden gemobiliseerd en ingezet. Het is het altijd lastig en meestal onmogelijk
om te achterhalen wélke overheid verantwoordelijk is voor welke vorm van cyberspionage.
Daarom is het in de regel onmogelijk om informatiediefstal toe te schrijven aan een bepaalde
nationale staat.
Dat is het probleem met de beruchte cyberspionage uit China. Voor bedrijfsspionnen is het
makkelijk om een server in een ander land te huren of om daarin ongemerkt in te breken om
deze als tussenschakel (proxy) te gebruiken. Chinese computers zijn vaak slecht beveiligd
omdat er vaak gewerkt wordt met gekraakte kopieën van reguliere software (zoals Windows)
waarbij alle updatefuncties zijn uitgeschakeld omdat anders illegaal gebruik kan worden
vastgesteld. Zonder deze updates vertoont de software allerlei beveiliginglekken die
gemakkelijk benut kunnen worden. De Chinese overheid ontkent —zoals gebruikelijk— elke
verantwoordelijkheid voor de cyberspionage op militaire en commerciële netwerken in de VS en
in Europa. Haar stelling is dat een derde van alle cyberspionage uit de VS komt en niet uit
China.

Wie er schuil gaat achter transnationale

spionage-incidenten kan bijna nooit eenduidig
worden vastgesteld. Natuurlijk heeft China er
belang bij om via bedrijfsspionage de opbouw
van het eigen land zo snel mogelijk vooruit te
drijven, maar dit geldt voor zeer veel landen.
Om te overleven op de wereldwijde markten zijn
onderzoek en productontwikkeling steeds
belangrijker geworden. Onderzoek en
Cyberspionnen stelen geheimen en identiteiten, zij
zijn behendig en wissen hun digitale sporen.
ontwikkeling vereisen echter enorme bronnen:
geschoold talent, dure apparatuur en dus zeer veel geld. Voor naties en bedrijfssectoren die
een gebrek aan middelen hebben en toch op de wereldmarkt goed willen concurreren is
bedrijfsspionage een realistische optie. Economische cyberspionage is daarvoor de meest
haalbare, effectieve en goedkoopste variant om deze strategische doelen te realiseren.
De cyberwapenrace op het gebied van bedrijfsspionage is in de afgelopen jaren op stoom

geraakt. In de hele wereld klinken de alarmbellen. In de hele wereld klinken alarmbellen. De
grootste alarmbel werd geluid door Generaal Keith B. Alexander (hoofd van de NSA en van het
U.S. Cyber Command). Hij typeert de diefstal van intellectueel eigendom in cyberspace als “de
grootste overdracht van rijkdom in de geschiedenis”. Zijn schatting is dat alleen al de V.S.
bedrijven en instellingen honderden miljarden dollars hebben verloren als gevolg van
bedrijfsspionage [FP, 9.7.2012]. Cyberspionage is waarschijnlijk de meest rendabele operatie
die men via internet kan uitvoeren.
Het aantal incidenten van bedrijfsspionage via internet is enorm. De meest geavanceerde
voorbeelden van politiek-economisch gemotiveerde cyberspionage zijn Titan Rain, ShadyRat en
Operation Aurora. Het zijn slechts drie voorbeelden van een Advanced Persistent Threat (APT).
Titan Rain — Invasie van Chinese cyberspionnen?

Deze naam werd gegeven aan een serie gecoördineerde en duurzame aanvallen op
Amerikaanse computersystemen van militaire en bewapeningsbedrijven: Lockheed Martin,
Sandia National Laboratories, Redstone Arsenal en NASA. De cyberspionage begon in 2003
en duurde minstens drie jaar. Van de 79.000 pogingen waren er 1.300 succesvol.
De cyberspionnen gingen snel, efficiënt en doelgericht te werk. Ze slaagden erin om

verborgen secties van harde schijven te bereiken, kopiëerden daarvan alle bestanden en
verplaatsten deze zo snel mogelijk naar servers in Zuid-Korea, Hong Kong of Taiwan voordat
ze naar China werden verstuurd. De aanvallen werden gelanceerd vanuit drie Chinese

routers die fungeerden als het eerste verbindingspunt van een lokaal netwerk naar het
internet.
De hackende spionnen verstonden de kunst van het ongezien ontsnappen. Zij veegden hun
elektronische vingerafdrukken weg en lieten een bijna niet te vinden baken achter waarmee
zij desgewenst weer in de computers konden inbreken. De hele aanval duurde tussen de 10
en 30 minuten. De meeste hackers die een overheidsnetwerk binnendringen worden
opgewonden en maken fouten. “Maar dat gebeurde niet bij deze gasten. Zij sloegen nooit
een verkeerde toets aan” [Time, 29.8.05].
De Amerikaanse autoriteiten hielden hun kaken op Spionage Pearl Harbor?

De Amerikaanse autoriteiten beschouwden
elkaar over Titan Rain en drongen erop aan dat alle
Titan Rain als een ‘spionnage Pearl Harbor’.
details van de spionageaanval geheim moesten “Een onbekende buitenlandse mogendheid, en
we weten echt niet wie dat is, brak in het
blijven. Zij beseften dat het hier om een serieuze
ministerie van Defensie, in het ministerie van
vorm van cyberspionage ging en de FBI werd hard Buitenlandse Zaken, het ministerie van Handel
aan het werk gezet om de identiteit van de en waarschijnlijk in het ministerie van Energie,
waarschijnlijk NASA. Zij braken in op alle
aanvallers te achterhalen. Maar ook de FBI was hightech instellingen en alle militaire
niet in staat om vast te stellen of de Chinese instellingen en downloaden terabites aan
informatie. We verloren in 2007 dus
overheid achter de aanvallen zat of dat het een waarschijnlijk overheidsinformatie ter waarde
initiatief was vanuit de particuliere sector of van van het equivalent van een Library of
Congress” [Jim Lewis, directeur van het
andere, mogelijk criminele actoren. De Chinese Center for Strategic and International
regering werkte niet mee aan het onderzoek naar Studies].
Titan Rain. Zij verklaarde dat de beschuldigingen over cyberspionage totaal ongegrond en
onverantwoordelijk waren en te onwaardig om te weerleggen.
Feit was dat onbevoegde buitenstanders in staat waren om zeer vitale informatie te
vervreemden van organisaties, instellingen en bedrijven die meenden zeer goed beveiligd te
zijn tegen inbraken op de eigen computersystemen en netwerken. Maar juist bij die zo
schijnbaar goed beschermde systemen konden de hackers strategisch belangrijke informatie
stelen, zoals de software die het Amerikaanse leger gebruikt voor vluchtplanning.
Spionagenetwerken opereren vaak op brede schaal, in meerdere bedrijfstakken en vaak ook

in meerdere nationale staten. Zo’n brede inlichtingenoperatie op internet vergroot natuurlijk
het risico dat de kwaadaardige spyware wordt gedetecteerd en op andere plekken
onbruikbaar wordt. De meest recente spyware opereert veel kleinschaliger, specifieker en
selecteert zorgvuldig uitgekozen doelwitten. Daardoor wordt ook de pakkans kleiner.
ShadyRat — Extreem geavanceerde spyware

ShadyRat is een spionagenetwerk dat tussen 2006 en 2011 volkomen onopgemerkt meer

dan 72 grote internationale ondernemingen bespioneerde. Dat waren de grote

wapenproducenten, Google, Morgan Stanley, de beveiligingsgigant RSA, de Verenigde Naties
en het Internationaal Olympisch Comité. Veel computerdeskundigen en bloggers vonden
bewijzen dat de aanvallen uit China Goed gekozen
RSA is de beveiligingsafdeling van de hightech firma EMC.
waren gekomen. Zij beschuldigen
Het produceert beveiligde computernetwerken voor het
China van het grootschalig stelen van Witte Huis, de CIA, de NSA, het Pentagon en het
Department of Homeland Security (DHS), de grootste
intellectueel eigendom van
wapenproducenten en overheidsleveranciers (Lockheed
Amerikaanse ondernemingen en van de Martin, Northrop Grumman en L-3 Communications) en de
overheid van de VS [Gross 2010; meerderheid van de Fortune 500 ondernemingen. De
reputatie van de populaire beveiligingsdienst SecurID van
McAfee 2011; Gacken 2012:112]. RSA liep daarmee een gevoelige deuk op.
Via de e-mail werd het virus verzonden dat deze operatie uitvoerde. Medewerkers van de
doelorganisatie kregen een lokmail van een schijnbare collega met een vertrouwd thema als
onderwerp (‘Recruitment Plan’). Zodra zij op dit bericht klikten, werd het aangehechte Excel
bestand gedownload. De spyware die daarin verborgen was, stelde de hackers in staat om
het geïnfecteerde computernetwerk te plunderen.
De cyberspionnen gebruikten een zero-day lek Zero-day lek

Een zero-day lek is een kwetsbaarheid in de
in Adobe Flash Player (verpakt in een Excel-
softwarecode die onbekend is bij de ontwikkelaars
bestand) om een extreem gewone downloader van het programma en die nog niet gebruikt is in
eerdere aanvallen. Zero-day lekken komen veel
te installeren: Poison Ivy. Dit programma
vaker voor dan gedacht en worden soms jarenlang
downloadt stiekem malware op de actief misbruikt voordat ze officieel bekend worden.
Pas daarna worden zij gebruikt voor massale
geïnfecteerde systemen. Met behulp van deze
aanvallen, totdat er een patch (een digitale pleister)
malware konden de hackers het kroonjuweel wordt verspreid om het lek te dichten
van de RSA, de SecurID kraken. Jarenlang was [Bilge/Dumitras 2012; Washiongton Post - Special
report: Zero Day].
deze beveiligingssleutel gebruikt door de
Als bij een cyberaanval daadwerkelijk gebruik
meeste Amerikaanse inlichtingendiensten, gemaakt wordt van een gat in de beveiliging
militaire eenheden, wapenleveranciers, spreekt men van een zero-day exploit. Een
«nuldagenaanval» start op of vóór de eerste dag
ambtenaren van het Witte Huis en Fortune 500
waarop de ontwikkkelaar zich bewust is van het
directeuren. Al deze instellingen waren door beveiligingslek.
RSA voorzien van de tot dan toe beste vorm van beveiliging. In totaal circuleerden er 25
miljoen van deze beveiligingssleutels en 70 procent van de meest vitale instellingen waren
met SecurID beveiligd.
De schrik was groot toen RSA in maart 2011 in een open brief aan haar klanten
aankondigde dat het beveiligingssysteem van het bedrijf te maken had met “een extreem
geavanceerde cyberaanval” die ertoe geleid had dat er informatie was gestolen van RSA-
systemen.

Gezien de investeringen en de tijd die de aanval heeft gekost, meent RSA dat de aanval van
een land afkomstig moet zijn. De president van RSA, Thomas Heiser, verklaarde: “Het was
uitstekend gepland, met lange voorbereidingstijd en hoge kwaliteit. Ze wisten precies wat ze
zochten en waar wat op het netwerk te vinden was.” Volgens Heiser kwam de aanval van
een land, maar is niet meer te achterhalen welk land dat was [Webwereld, 12.10.11].
We hebben gezien dat virtuele aanvallen via servers over de hele wereld kunnen worden
georkestreerd en dat het daarom bijna onmogelijk is om een inbraak met zekerheid aan
iemand toe te kunnen schrijven. Alle nationale overheden hebben inlichtingendiensten die
gebruik maken van programma’s om via het internet vitale instellingen van andere staten te
bespioneren.
Bij cyberspionage weet niemand of een aanval is uitgevoerd op bevel van een vijandige
staat, een rebellerende fractie in de eigen staat, een terroristische organisatie of een
crimineel syndicaat. Soms voeren politieke en militaire autoriteiten de aanvallen zelf uit.
Maar ze kunnen ook oogluikend toezien dat patriottische hackers hun aartsvijanden relatief
ongestoord kunnen aanvallen, of ze kunnen dergelijke initiatieven steunen of zelf
ensceneren. Al deze opties behoren tegenwoordig tot het standaardrepertoire van de
cyberstrategen.
PoisonIvy te paard
In 2011 werd een spervuur van cyberaanvallen geopend op tenminste 50 chemiebedrijven. Daarbij werd
ook de Franse nucleaire multinational Areva gehackt [Webwereld, 1.12.11]. De aanval was gericht op het
verwerven van bedrijfsgeheimen zoals chemische formules, recepten en documenten over
fabricagetechnieken [Symantec 2011].
Ook in deze gevallen drongen de cyberspionnen de computernetwerken binnen via een e-mail dat
schijnbaar afkomstig was van de systeembeheerder, een bekende collega of leidinggevende, maar die met
een Trojaans paard geladen was. Het als bijlage toegevoegde PoisonIvy zet op de pc een achterdeur open
en legt contact met een command & control server. Met deze techniek werd de rest van het netwerk in
kaart gebracht om zo bedrijfsgevoelige informatie te stelen. De aanval werd uitgevoerd door een virtuele
private server (VPS) in de V.S. die door iemand uit China was gehuurd. Ook hier wezen de meeste vingers
in de richting van China, maar ontkende de regering in Peking krachtig elke vorm betrokkenheid bij deze
bedrijfsspionage.
De aanvallers hadden waarschijnlijk twee jaar lang toegang tot verschillende computers van het France
nucleaire concern Areva. Areva is een van de grootste nucleaire ondernemingen ter wereld. Het exploiteert
uraniummijnbouw, kerncentrales, opwerkfabrieken en verwerking van kernafval, maar is ook actief op het
gebied van hernieuwbare energie.
Bij vergelijkbare spionageacties in Japan werden defensiegeheimen van Mitsubishi gestolen: ontwerpen van
het nieuwste wapentuig, militaire vliegtuigen, onderzeeërs en kerncentrales. Op tien verschillende locaties
van Mitshubishi werden maar liefst 45 servers en 38 pc’s gecompromitteerd. Voor deze grootschalige
aanvallen werden minstens acht verschillende soorten malware gebruikt [E-week; BBC,20.9.11]. Ook
netwerken van ministeries en het parlement, negen Japanse ambassades (waaronder die in Den Haag)
werden gecompromitteerd [Webwereld, 26.10.11].

Ook hier wijzen de vingers naar China [AFP, 25 oktober 2011]. Niet alleen bedrijfsgeheimen, maar ook
staatsgeheime informatie werd gestolen. Hoewel Mitshubishi beweerde dat er geen vertrouwelijke of
gevoelige informatie was weggelekt stelde het Japanse ministerie van Defensie toch een diepgravend
onderzoek in [Volkskrant, 20.9.11].
Operation Aurora — Google als invalsweg

Cyberspionage is het met digitale middelen op malafide wijze verzamelen van vertrouwelijke
of anderszins gevoelige informatie. De mogelijkheden van illegale verwerving van geheime
of vertrouwelijke informatie zijn enorm toegenomen.
Het besef van het gevaar van cyberspionage begon pas goed door te dringen toen Google
op 12 januari 2010 begon te praten over Operation Aurora. Aurora werd ontdekt door het
cyberbeveiligingsbedrijf McAfee.
In eerste instantie leken de aanvallen op Google [2009-2010] alleen gericht op het

opsporen en aftappen van mensenrechten activisten en politieke dissidenten in China. Hun
Gmail-accounts werden gehackt en de daaruit resulterende informatie werd gebruikt om
dissidenten aan te klagen en te veroordelen.
Bij nader inzien bleken de aanvallen op Google echter onderdeel te zijn van een goed
georkestreerd en omvattend gecoördineerd spionageprogramma. De veiligheidslekken in e-
mail bijlagen van Gmail werden geëxploiteerd om heimelijk toegang te krijgen tot
netwerken van belangrijke financiële, militaire en technologische bedrijven en
onderzoeksinstellingen in de Verenigde Staten [Washington Post, 14.01.10]. Daarbij
behoorden interessante doelwitten als Adobe, Juniper Networks, Rackspace, Yahoo,
Symantec, Northrop Grumman, Google, Morgan Stanley en Dow Chemical.
De aanvallers maakten gebruik van een oude en inmiddels bekende krijgslist. De doelwitten
ontvingen een lokmail van die afkomstig leek te zijn van iemand die zij goed kenden en
waarvan zij geen kwaadaardige virussen of wormen verwachten. Het slachtoffer opent de
bijlage bij de e-mail die een kwaadaardig programma bevat dat zich in zijn computer
nestelt. Vanaf afstand krijgt de aanvaller toegang tot de e-mail van het slachtoffer, kan
vertrouwelijke documenten naar een specifiek adres versturen of de webcam of microfoon
aanzetten om vast te leggen wat er in de kamer van de gebruiker gebeurt. Die gebruiker
heeft geen flauw benul dat hij het doelwit is van een spionage activiteit, van een
cyberexploitatie.
Deze cyberexploitaties waren complex van opzet, zeer

doelgericht en werden goed gecoördineerd, Er werden
tegelijkertijd meerdere fouten in verschillende software

programma’s geëxploiteerd, en er werden meerdere

aanvalstypen ingezet op meerdere doelwitten. De meeste
deskundigen beschouwden Operation Aurora als zo geavanceerd
dat er wel een staat achter moest zitten. Specialisten op het
gebied van computerbeveiliging kijken naar overeenkomsten
tussen de malware die gebruikt wordt bij de inbraak en codes die
op Chinese hackersfora circuleren. Onderzoek wees uit dat de
aanvallen gelanceerd waren vanaf de computers in Lanxiang, een
vakschool in de provincie Shandong, en de Jiaotong Universiteit Na het vertrek van Google uit
China legden sympathisanten
in Shanghai. Maar er kon niet worden aangetoond dat deze bloemen neer en brandden
kaarsjes op het Chinese
activiteiten door de Chinese overheid of door het leger werden hoofdkwartier van het bedrijf.
Google verdiende in 2009 naar
gesponsord. schatting 300 tot 400 miljoen
dollar aan Chinese
internetgebruikers.
Ook in dit geval ontkenden de Chinese autoriteiten in alle [foto: Vincent Thian]
toonaarden dat zij iets met deze cyberoperaties te maken hadden: “Wij ondersteunen geen
hackers en onze cyberoorlogsstrategie is zuiver defensief”. De woordvoerder van het
ministerie van Buitenlandse Zaken stapte in de slachtofferrol en benadrukte dat ook Chinese
netwerken door hackers werden aangevallen [ChinaDaily, 3.6.11]. Het is weliswaar
makkelijk om het IP-adres van de hackers te lokaliseren, maar het is veel lastiger om te
bepalen waar de hackers daadwerkelijk vandaan komen. Met ongefundeerde verwijten dat
Chinese hackers achter de cyberaanvallen zitten, worden volgens de Chinese overheid alleen
maar obstakels opgeworpen voor het versterken van vertrouwen tussen ‘stakeholders in
cyberspace’ en wordt de samenwerking tussen Zie voor verdere analyse van Operation Aurora:
Wikipedia: Operation Aurora en de video:
overheden gefrustreerd [ChinaDaily, 4.6.11].
Operation Aurora (Google vs. China) Explained.
De voordelen van economische gemotiveerde cyberspionage liggen voor de hand: men kan
besparen op zeer omvangrijke investeringen onderzoek en productontwikkeling en men wordt
sneller rijp voor de wereldmarkt. Landen met een relatief lage graad van informatisering
hebben hierbij veel te winnen, terwijl de hightech landen veel te verliezen hebben [Gacken
2012:112]. In hoeverre nationale staten (regeringen, ministeries, hooggeplaatste politici en
ambtenaren) betrokken zijn bij bedrijfsspionage in cyberspace blijft in bijna alle gevallen in het
duister.
Cyberspionnen vinden telkens nieuwe aanvalsmethoden uit via verschillende platforms en

technieken en zij zijn steeds beter in staat om hun interventies te verbergen. De geïnjecteerde
malware misleid de detectiesystemen die de veiligheid van computersystemen moet bewaken.
Als de aangevallen computers eenmaal zijn besmet, wordt er een achterdeur open gezet
waardoor zij contact zoeken met een website op een command & control server. Daar krijgen

de besmette machines gecodeerde opdrachten van de aanvallers. Door gebruik te maken van
bepaalde communicatietechnieken —zoals de micro-bloggingdienst Plurk of Twitter— zorgt de
malware ervoor dat het lijkt alsof de besmette machines een veel gebruikte en betrouwbare
website bezoeken. In het netwerkverkeer ziet de kwaadaardige software er onschuldig uit: zij
gedraagt zich netjes en lijkt alleen vriendelijke sites te bezoeken [Stewart 2012].
In een nieuwe variant van Zeusbot/SpyEye wordt helemaal geen gebruik meer gemaakt van
een command-and-control server, waardoor de botnet nog moeilijker is te bestrijden. De
Zeusbot/Spyeye variant maakt gebruik van de architectuur van een peer-to-peer netwerk
(P2P). Het P2P-netwerk stelt de botnet in staat om actief te blijven en informatie te verzamelen
zelfs als delen van het netwerk afgesloten zijn [Lelli 2012].
Verzwegen hack: Coca-Cola

De bedrijfsspionage bij Coca Cola was niet bijzonder door de manier waarop de hack werd uitgevoerd, maar
door het feit dat deze zolang werd stilgehouden, uit angst dat ontdekking grote schade zou kunnen toebrengen
aan de reputatie en beurskoers van het bedrijf.
In februari 2009 werd Coca-Cola gehackt door een

lokmail te sturen naar vice-president Paul Etchells. De
e-mail leek van de CEO te komen en had als onderwerp
‘Save power is save money’. In een periode dat Coca-
Cola veel met energiebesparing bezig was, leek dit een
belangwekkend bericht. De link in de lokmail schakelde
door naar een malafide website. Etchells klikte op de
link waardoor zijn computer met spyware werd
besmet: er werd een keylogger op zijn machine
geïnstalleerd. De aanvallers konden de e-mails lezen
die tussen leidinggevenden werden uitgewisseld en
kregen door het stelen van wachtwoorden toegang tot
geheime documenten op het bedrijfsnetwerk. Meer dan
een maand lang werd het computernetwerk van Coca Cola geïnfiltreerd zonder dat iemand iets in de gaten
had. In deze periode werden grote hoeveelheden commercieel gevoelige informatie gestolen.
Alle belangrijke gegevens over een geplande overname van het Chinese bedrijf Huiyuan Juice Group werden
gestolen. Dit zou de grootste overname ooit van een Chinees bedrijf zijn, ter waarde van $2,4 miljard. Drie
dagen na de ontdekking van de hack werd de bedrijfsovername afgeblazen. Pas drie jaar later werd dit incident
bekend. Het vermoeden is dat deze operatie door de Chinese overheid was uitgevoerd, maar daarvan is geen
enkele bewijs [Bloomberg, 5.11.12].
Het feit dat Coca Cola besloot geen ruchtbaarheid te geven aan deze hack onderstreept nog eens de weerzin
die ondernemingen hebben om hun beveiligingsfouten toe te geven. Ondanks het feit dat de Amerikaanse SEC
(Securities and Exchange Commission) in haar richtlijnen aangeeft dat het in het belang van de bedrijven is
om dit wel te doen.
Veel andere incidenten van bedrijfsspionage worden ook verzwegen. De cyberinbraak op het Britse
energiebedrijf BG Group Plc in 2011 werd nooit publiek gemaakt. Daar werd informatie gestolen over
geografische kaarten en gegevens over gasboringen. Naar schatting heeft dit bedrijf een verlies geleden van
$1,2 miljard, als gevolg van nadelen bij contractuele onderhandelingen.
Hetzelfde gebeurde bij Chesapeake Energy, de op een na grootste gasproducent in de VS Bij de in Luxemburg
gevestigde staalproducent ArcelorMittal werd ingebroken bij Sudhir Maheshwari, die verantwoordelijk is voor

de fusies en overnames van de grootste staalbedrijven in de wereld.
Wie steelt wat en waarom?

Bij elk incident van bedrijfsspionage is de vraag: wie steelt, wat en waarom? Wie zijn de
werkelijke bedenkers en uitvoerders van een cyberspionage campagne? Is het een particuliere
onderneming die een binnen- of buitenlandse concurrent wil beroven van haar intellectueel
eigendom om daarmee marktvoordelen te behalen? Of zijn daar op een of andere manier ook
buitenlandse staten bij betrokken die de gestolen kennis, recepten, patenten en
fabricageprocedures doorsluizen aan de eigen, binnenlandse ondernemingen?
De dader ligt meestal op het virtuele kerkhof. Zelden wordt duidelijk wie er precies hebben
aangevallen, uit welk land zij komen, of in welke mate daar overheden bij betrokken zijn. De
enige vuistregel die hierbij gehanteerd kan worden is dat criminelen meestal werken met de
kleinst mogelijke inspanningen; meer ingewikkelde, meerzijdige en tijden geldkostende
aanvallen kunnen een indicatie zijn dat er een staat of overheidsinstelling bij de aanval
betrokken is.
Een vergelijkbaar probleem doet zich voor bij de vraag wát er wordt gestolen. Bij
bedrijfsspionage is het vaak lastig om vast te stellen welke informatie er precies is gestolen. De
informatie wordt immers niet zomaar gestolen (er verdwijnen geen documenten), maar
gekopieerd en/of gedownload. De informatie is op de plek van oorsprong niet verdwenen. Zelfs
al heeft men een duidelijk idee naar welke gevoelige informatie de crackers op zoek waren, dan
weet men na een geslaagde aanval niet precies welke onderdelen daarvan daadwerkelijk
vervreemd zijn.
Zolang het onduidelijk of niet zeker is wie er achter een ontdekt geval van bedrijfsspionage
schuil gaan en welke informatie is gestolen, blijft het speculeren over wat het doel van de
aanval was. Waarom werd er zoveel energie besteed aan het binnendringen van het netwerk
van die specifieke onderneming?
Meestal is het echter niet moeilijk om te raden waar cyberspionnen op uit zijn. Vaak zijn dat de
bedrijfsgeheimen die een onderneming in staat stellen om succesvol op de wereldmarkt te
opereren (gepatenteerde producten, fabricageprocedures, productontwerpen, recepten e.d.).
Soms gaat het om specifiek conjuncturele informatie zoals offertes voor zeer grote orders. Heel
vaak gaat het om het verwerven van illegale toegang tot de financiële bronnen van een
onderneming. In de meest kritieke gevallen gaat het om bedrijfsgeheimen die een grote
politiek-strategische waarde hebben, zoals bouwtekenen en constructieplannen voor
onderzeeërs, jachtvliegtuigen, raketsystemen en kerncentrales. In de organisatie van

bedrijfsspionage op deze gebieden spelen nationale overheden of afzonderlijke

overheidsinstellingen bijna altijd een —goed verborgen en altijd publiekelijk ontkende— rol.
Spioneren in de wolken
Het midden- en kleinbedrijf is minder goed beveiligd dan grote ondernemingen. Kleinere
bedrijven hebben te weinig middelen om een degelijke bescherming van computers en
bedrijfsnetwerken op te bouwen. Juist daarom zijn kleine en middenbedrijven die zich
bezighouden met onderzoek en ontwikkeling uitgelezen doelen voor cyberspionnen. Zij zijn een
gemakkelijke prooi waarbij tegen geringe kosten vaak genoeg interessante en bruikbare
informatie gestolen kan worden.
Cybercriminelen zijn vooral op zoek naar klantgegevens, intellectueel eigendom en

bankgegevens. Kleine en middenbedrijven gebruiken vaak dezelfde computersystemen en
bedrijfsnetwerken en dezelfde beveiligingssystemen. Als de zwakheden en achterdeurtjes
eenmaal zijn gevonden kan een spionageaanval op veel andere plaatsen worden herhaald.
Duitse studies hebben laten zien dat meer dan 3/4 van alle cyberspionnen juist dergelijke
kleine en middenondernemingen in het vizier hebben en dat de aanvallen ook met vermeende
statelijke achtergrond worden opgezet [Gaycken 2012:114]. Zeer vaak worden
spionagenetwerken ontdekt die in meerdere bedrijfssectoren en staten op gelijksoortige wijze
opereren. Zoals we eerder gezien hebben vergroot dat weer het risico van ontdekking en
daarmee de inefficiëntie van hetzelfde aanvalsscenario op andere plekken.
Een van de mogelijkheden die vooral voor het midden- en kleinbedrijf

attractief lijkt is cloud computing. Cloud computing is een nieuwe vorm van
uitbesteding van IT. De opslag van gegevens, het gebruik van programma’s,
de rekenen netwerkcapaciteiten worden gehuurd bij wolkaanbieders. Door
deze uitbesteding hebben ondernemingen geen eigen afdeling meer nodig
die verantwoordelijk is voor beheer en beveiliging van informatie- en
We zijn in de wolken.
communicatietechnologie. Of zij kunnen volstaan met een veel kleinere IT-
afdeling. Op die manier kunnen arbeidsplaatsen worden bespaard.
Werken in de wolken
Cloud computing is een op internet (de ‘wolk’) gebaseerd model van systeemarchitectuur, waarbij vooral
gebruik wordt gemaakt van Software as a Service (SaaS), Platform as a Service (PaaS), en Infrastructure as a
Service (IaaS). Wolkvoorzieningen zijn een gemeenschappelijk depot van gevirtualiseerde computerdiensten
waarmee gebruikers toegang te krijgen tot programma’s en data in een webgebaseerde omgeving. Zolang de
gebruiker toegang heeft tot het internet is de wolkdienst altijd beschikbaar — zonder tussenkomst van derden.
De wolkomgeving groeit mee of krimpt in al naar gelang de behoeften van de gebruiker en is dus volledig
schaalbaar. Bovendien wordt alleen betaald voor feitelijk gebruik van de wolkdiensten (pay for use). Door
centralisatie van virtuele infrastructuren kan een directe kostenbesparing van 15 tot 20% worden bereikt ten

opzicht van traditionele oplossingen. De virtualisatie van de eigen infrastructuren biedt een beveiligde
oplossing voor gedistribueerd telewerken.
Het meest bekende type wolkmodel is de publieke wolk. In dit model biedt de wolkprovider voor bedrijven en
particulieren alle applicaties, dataopslag en infrastructuur via het internet aan. De programma’s en data zijn
voor personeelsleden vanaf diverse locaties toegankelijk, ongeacht de hardware platforms die zij gebruiken.
Alle informatie en alle software staan volledig op de servers van de externe dienstverlener. Voor alle afnemers
wordt een generieke functionaliteit aangeboden.
Het tweede type wolkmodel is de particuliere wolk. In dit model opereert de it-afdeling van een organisatie
als de leverancier van diensten voor interne bedrijfsklanten. Alles wordt intern opgeslagen en beheerd, waarbij
alleen de backups van data extern worden opgeslagen. Dit model is populair bij bedrijven die meer controle
willen houden over hun infrastructuur en die meer vertrouwen hebben in hun interne it-afdelingen dan in een
externe voorziening. De verantwoordelijkheid voor het onderhoud van de particuliere wolk ligt bij een
professionele leverancier van ict-diensten. De fysieke locatie van de componenten van de ic-infrastructuur kan
zowel een wolkleverancier zijn als de organisatie zelf.
In het derde model, de hybride wolk, convergeren de publieke en de particuliere wolk, terwijl ze tegelijkertijd
effectief gescheiden blijven. Daarbij wordt bijvoorbeeld een externe opslagwolk gebruikt voor het archiveren
van bestanden die niet meer actief gebruikt worden, terwijl de actuele financiële informatie op een interne
wolk wordt opgeslagen waardoor de veiligheid strakker en veiliger beheerd kan worden.
Een goed beveiligde informatiewolk kan voor ondernemingen een relatief beveiligingsvoordeel
opleveren. Grote aanbieders van wolkdiensten bieden vaak een hoogwaardige it-beveiliging die
veel ondernemingen zich niet kunnen veroorloven. Vanuit de optiek van cyberspionage kleven
er echter ook een paar zwakke punten aan het ‘gewolk’:
Ten eerste moeten kleine, midden- en grote ondernemers veel vertrouwen stellen in een
specifieke aanbieder van de wolkvoorziening (cloud providers). De meeste directeuren en
managers kunnen immers niet echt goed beoordelen hoe sterk en betrouwbaar de
beveiligingsmaatregelen van deze aanbieder (die vaak aan de andere kant van de aardbol is
gevestigd) werkelijk zijn en of de meer of minder vertrouwelijke informatie ook werkelijk op
de aangegeven wijze wordt opgeslagen, beschermd en niet aan derden verkocht.
Wanneer een wolkleverancier geen gebruik maakt van standaardtechnologieën en -

oplossingen dan is het moeilijk vast te stellen of deze wel voldoet aan de gestelde
beveiligingseisen. Wolkleveranciers die andere technologieën, strategieën, methoden en
oplossingen aanbieden, zijn daarom niet per definitie slechter. De eigenaar van systemen en
processen kan zijn verantwoordelijkheden op het gebied van beveiliging delegeren aan de
wolkleverancier. Maar uiteindelijk blijft de eigenaar zelf verantwoordelijk voor de beveiliging
van zijn ondernemingsbronnen en moet hij/zij in staat zijn om vast te stellen of de
gedelegeerde verantwoordelijkheid op adequate wijze is ingevuld [NCSC 2012:27].
Het uitbesteden van diensten die vertrouwelijke informatie betreffen brengt dus specifieke
risico’s met zich mee. Ondernemingen en instellingen die hun ict-infrastructuren

virtualiseren, blijven verantwoordelijk voor de beveiliging van vertrouwelijkheid van

gegevens over hun medewerkers en klanten/cliënten. Als vertrouwelijke gegevens uitlekken
dan worden —conform de Europese regelgeving— de uitbestedende organisaties
aansprakelijk gesteld voor eventuele schade. Maar als men gebruik maakt van online
wolkdiensten heeft men zelf geen controle meer over de locatie en manier waarop de data
wordt opgeslagen en is men afhankelijk van de aanbieder van wolkdiensten.
Afwegingen maken
Hoe beslis je of het gebruik van wolkvoorzieningen
geschikt is voor een organisatie of onderneming? Bij
deze beslissing moet zowel in kaart worden gebracht
wat de bedrijfsmatige gevolgen zijn voor arbeids-,
organisatie-, communicatie- en beheersprocessen
als wat die ondernemingsmatige gevolgen zijn voor
monetaire en personele kosten en baten. Een
eenmaal doorgevoerde uitbesteding is in de praktijk
moeilijk omkeerbaar. Daardoor kunnen problemen
ontstaan zoals afhankelijkheid van de dienstverlener,
risico van kwaliteitsverlies bij opdrachtnemer, verlies
van know how en technologische afhankelijkheid.
Veel ondernemingen maken de fout om bij de

kosten-baten calculatie alleen rekening te houden met de directe kosten van uitbesteding en de aanvullende
kosten (en verlies van deskundigheid) op langere termijn buiten beschouwing te laten.
Wolkaanbieders hebben een cruciaal belang bij de veiligheid van de data die zij beheren.
Zodra een wolkvoorziening gekraakt wordt door kwaadwillende buitenstaanders betekent dit
het einde van deze onderneming. Toch zijn ook wolkaanbieders niet bestand tegen fouten in
de configuratie van de beveiliging, tegen daders van binnenuit, of tegen zeer goed getrainde
en creatieve aanvallers. Voor de gebruikers van de wolkvoorziening is daarbij altijd de vraag
of de aanbieders van de dienst wel melding maken van een wolkinbraak.
Uitbesteding van it-beveiliging door het inhuren van een wolkvoorziening helpt om kleine
criminelen buiten de deur te houden, maar is ook een aantrekkelijke uitnodiging voor
gekwalificeerde en behendige aanvallers. Zij hoeven niet telkens in verschillende
ondernemingen in te breken om een veelvoud van verschillende informaties te verwerven. De
aanvaller hoeft slechts één keer in te breken. Professionele cyberspionnen worden hierdoor
aangetrokken en hebben goede kansen om zeer waardevolle informatie te stelen. Wie al zijn
kroonjuwelen en geheimen toevertrouwd aan een virtuele wolk, behaalt daarmee dus niet
zonder meer een beveiligingsvoordeel.
In haar Jaarverslag 2012 formuleerde de AIVD dit risico als volgt. “Het toenemend gebruik van
online-diensten voor de creatie, uitwisseling of opslag van gegevens (in the cloud) vergroot het
risico van digitale spionage door andere staten. In korte tijd kunnen zij op veel verschillende

plekken binnen de digitale infrastructuur grote hoeveelheden data (laten) onderscheppen”
Om de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten

publiceerde het Nationaal Cyber Security Centrum (NCSC) in januari 2012 haar Whitepaper
Cloud Computing. In dit rapport worden niet alleen de mogelijkheden en voordelen van
uitbesteding van it-werkzaamheden aan wolkvoorzieningen besproken, maar ook de condities
en mogelijke risico’s.
Ook in Nederland zijn buitenlandse spionagediensten “Als ik Coca Cola was, zou ik mijn recept niet
actief bezig met het verzamelen van inlichtingen. Uit opslaan in de cloud. Cloud-aanbieders hebben
doorgaans de veiligheid goed op orde, maar er
de kwetsbaarheidsanalyse van de AIVD [2010] blijkt
zijn potenti�el grote risico�s verbonden aan
dat gevoelige informatie in systemen kwets-baar het extern opslaan van gegegevens. We zien
vooral Oost-Europese en Aziatische
wordt door de toenemende verwevenheid en
misdaadorganisa-ties die het hebben gemunt
complexiteit van computersystemen en het koppelen op bedrijfsgegevens en bijvoorbeeld
wachtwoorden. En het zou zelfs kunnen dat
van systemen voor opslag van gegevens. Ook het
sommige overheden zich er schuldig aan
uitbesteden van activiteiten als systeem- en maken” [Troels Oerting, Directeur van het
European Cybercrime Centra van Europol, in
serverbeheer, datawarehousing en
Elsevier, 1.3.13].
gegevensverwerking brengt spionagerisico’s met
zich mee. Bij cloudcomputing en datawolken zijn deze risico’s nog veel groter.
Cloudcomputing maakt de opsporing van misdadigers nog moeilijker. De volgens Europol meer
dan 6.000 misdaadgroepen in Europa maken steeds meer gebruik van de meest geavanceerde
technologische middelen. Net als hun slachtoffers slaan zij hun data verspreid op in de
wolkvoorzieningen [Europol,mrt 2013; Security.nl, 20.3.13]. De technieken van digitale
opsporingsdiensten lopen ook op dit punt ver achter.
Internationale perikelen
Het virtualiseren en centraliseren van organisationele ict-voorzieningen biedt veel voordelen: schaalbaarheid,
elasticiteit, hoge prestatie, veerkracht (herstelvermogen), beveiliging en kostenefficiëntie. We hebben er al op
gewezen dat er risico’s verbonden zijn aan het uit handen geven van vertrouwelijke gegevens. De kern van de
kwestie is controle. Wanneer de betreffende gegevens niet meer binnen de eigen organisatie worden
vastgelegd en beheerd, wordt enerzijds het risico van interne manipulatie, vervreemding of misbruik
verminderd. Anderzijds worden door externe opslag juist de risico’s vergroot.
Data die herleidbaar zijn tot individuen is de privacywetgeving van toepassing. Volgens de weten regelgeving
in de Europese Unie mogen persoonsgegeven niet buiten Europa worden opgeslagen, tenzij het land waar die
data heen gaan hetzelfde niveau van beveiliging heeft. De Europese commissie bepaalt of dit het geval is.
Persoonsgegevens en andere privacygevoelige data mogen

bijvoorbeeld niet in de Verenigde Staten worden opgeslagen. Daar
geldt immers de Patriot Act die de Amerikaanse overheid
toegang geeft tot alle gegevens van alle bedrijven. De enige
uitzondering daarop is de Safe Harbor-regeling. Amerikaanse
bedrijven kunnen een procedure volgen waarin zij aantonen dat Het ‘Safe Harbor Certification Mark’ van het
Amerikaanse ministerie van Handel. Lang
zij zich aan de Europese wetgeving houden. Herhaaldelijk is

aangetoond dat Amerikaanse bedrijven claimen lid te zijn van de niet alle organisaties die dit logo voeren
voldoen daadwerkelijk aan de formele Safe
Safe Harbor terwijl zij dat niet (of niet meer) zijn. Europese Harbor-eisen. Sommige bedrijven maken
burgers, bedrijven en instellingen lopen dus een groot risico dat gewoon hun eigen zegels van
betrouwbaarheid en plaatsen die op hun
zij door deze claims worden misleid [Connolly 2008].
websites, onderzoeken, emails etc.
Het College Bescherming Persoonsgegevens (CBP) vindt de garanties die Amerikaanse clouddiensten (zoals
Google, Dropbox en Microsoft) ten aanzien van de bescherming van Europese persoonsgegevens bieden nogal
dun. Het Safe Harbor-certificaat is een vorm van zelfcertificering die niet garandeert dat de verwerking van de
gegevens in de VS zelf voldoet aan Europese richtlijnen. De door de Nederlandse regering gewenste meldplicht
voor datalekken in bij clouddiensten is alleen te realiseren als daarover heldere afspraken worden gemaakt
met de cloudleverancier en eventuele sub-bewerkers die worden ingeschakeld om bijvoorbeeld opslag of
beheer te verzorgen [CBP, Zienswijze over cloud computing; Binnenlandsbestuur, 12.9.12].
De Patriot Act is gericht op het bestrijden van terrorisme en kent de Amerikaanse overheid vergaande
bevoegdheden toe op het gebied van forensisch onderzoek. Amerikaanse organisaties en bedrijven zijn
verplicht om toegang te verlenen tot hun servers en netwerken. Ook bedrijfsonderdelen buiten het
Amerikaanse grondgebied moeten medewerking verlenen aan dergelijk onderzoek. In de praktijk betekent dit
dat Amerikaanse wolkleveranciers nooit kunnen garanderen dat gegevens van Europese bedrijven en
instellingen niet door Amerikaanse overheidsdiensten gecontroleerd zullen worden. Op 26 mei 2011 tekende
Barack Obama een verlenging voor vier jaar van drie belangrijke onderdelen van de oorspronkelijke Patriot
Act.
Cybermanipulatie van financiële markten
Van digidiefjes tot onregelaars van financiële markten

Het financiële stelsel van een samenleving is een van de meest kritische infrastructuren van
een nationale staat en van de onderlinge verbanden tussen staten. Het geld dat burgers op hun
bank hebben staan, mag niet gestolen worden. Zij hebben hun geld aan een bank
toevertrouwd in de verwachting dat deze goed op hun centen zal passen. Bij alle transacties
tussen particulieren verwacht de koper dat de verkoper levert wat is afgesproken, en de
verkoper verwacht dat hij volgens afspraak wordt betaald. Koper en verkoper proberen hun
transacties zodanig te regelen dat ‘derden’ geen kans krijgen om van deze waardenruil te
profiteren. Dit geldt voor transacties tussen een consumenten en ondernemingen, maar ook
voor beurstransacties waarin waardepapieren worden verhandeld.
Op gedigitaliseerde aandelenbeurzen gaan Korter dan een knipoog

Een knipoog duurt tussen de 300 en 400
tegenwoordig geen waardepapieren meer van hand
milliseconden. Gedigitaliseerde beurshandel vindt
tot hand. Er gaan alleen nog maar gedigitaliseerde plaats in fracties van een milliseconde. De snelste
computerprogramma’s voeren een transactie uit in
getallen, rekeningnummers, namen, inlogcodes en
0,05 milliseconde — een transactie per 50
wachtwoorden van computer tot computer. miljoenste seconde. In ��n seconde kunen dus
20.000 transacties plaatsvinden. Door de steeds
Aandelen en derivaten flisten in fracties van een
snellere beurstransacties zijn de transactiekosten
milliseconde flitsen over de internationale beurzen. sterk gedaald.
Deze flitshandel gaat zo snel dat het voor
toezichthouders van de beurs nauwelijks meer te volgen is. Ook de dagelijkse financiële

transacties tussen consumenten enerzijds en producenten en dienstverleners anderzijds

verlopen in toenemende mate van computer tot computer via het internet. Voor een steeds
groter aantal mensen bestaat de relatie tot ‘hun’ bank of beurs alleen nog maar uit een
uitwisseling van informatie via het internet.
De financiële markten zijn het afgelopen decennium in hoog tempo geautomatiseerd. De

meeste financiële transacties verlopen volledig geautomatiseerd via computers die via internet
aan elkaar verbonden zijn. Financiële markten zijn daarom bij uitstek het terrein waarop
criminelen hun slag proberen te slaan. Digidieven stelen geen portemonnees maar de
toegangscodes waarmee we internetbankieren. Banken worden niet meer beroofd door
gewapende mannen met bivakmutsen, maar door behendige cybercriminelen die vanaf hun
toetsenbord in de computer�systemen van banken weten door te dringen en daar grote
sommen geld laten verdwijnen. Georganiseerde cybercriminelen penetreren in internationale
beur�zen. Dubieuze flitshandelaren manipuleren de prijzen van aandelen en derivaten en
slagen er in om in fracties van milliseconden enorme kapitalen te laten ‘verdampen’.
De veiligheid en betrouwbaarheid van de

gevirtualiseerde financi�le transacties worden
bedreigd door diverse actoren. Door kleine
krabbelaars en zwendelaars die met lokmails
wacht�woorden en andere toegangscodes tot
parti�culiere bank�rekeningen weten te
ontfutselen aan goedgelovige of onoplet�tende
internet�gebruikers. Door internationaal
opererende criminele syndicaten die via internet
banken beroven en beurzen manipuleren. Maar
ook door cyber�ter�ro�ris�ten en overheden die vijandige staten proberen te verzwakken
door hun hele financi�le stelsel te ontregelen. Ondanks alle inspanningen van
beveiligings�bedrijven zijn onze financi�le instellingen en markten nog veel te zwak
gepantserd om zich tegen dergelijke aanvallen effectief te weren.
De methoden en technieken die deze actoren gebruiken zijn verschillend, maar hebben ��n
ding gemeen: zij verhullen altijd hun eigen identiteit om de pakkans te verkleinen. Daarom is
het in de praktijk zeer lastig om te bepalen of een bepaalde cyberoperatie wordt uitgevoerd
door individuele crackers, criminele syndicaten, terroristische organisaties of door nationale
overheden, of door een combinatie van deze elementen.
Individuele digidieven en georganiseerde cybercriminelen proberen alle sporen te wissen die

kunnen leiden tot de identificatie van de daders. Bij politiek gemoti�veer�de cyberaanvallen
op banken beurssystemen gebeurt hetzelfde.
Stelende paarden: banking trojans

Internetbankieren is in Nederland zeer populair: 80% van de bevolking gebruikt inmiddels
internet voor bankzaken [CBS, 1.8.12]. Voor digidieven is dat een lucratief operatiegebied. In
2011 werden er 55.000 betaalpassen geskimd waarmee 39 miljoen euro werd buitgemaakt
[Zembla 23.11.12]. De schade die met internetbankieren werd opgelopen bedroeg in datzelfde
jaar 35 miljoen euro. In 2012 daalde de totale cybercrimeschade met 11 procent.
De schade door fraude met internetbankieren daalde Schade fraude betalingsverkeer in mln €
2010 2011 2012

in de tweede helft van 2012 aanzienlijk (60%). Het
Internetbankieren 9.8 35,1 34,8
schadebedrag daalde van 24,8 miljoen naar 10
Skimming 19,7 38,9 29
miljoen euro. In de tweede helft van 2012 kostte de
Overig 27,6 18 18
diefstal via internetbankieren de Nederlandse 10 Totaal 57,1 92,1 81,8
miljoen euro. Dat was 52% minder dan in de eerste De schadebedragen zijn nog steeds imponerend.
Maar het aantal transacties waarbij geld verdwijnt, is
zes maanden van 2011, toen deze schade 24,7 procentueel erg klein. Per jaar vinden ongeveer drie
miljard transacties plaats via internetbankieren,
miljoen bedroeg. Deze daling is het gevolg van het waarbij ongeveer 3,2 biljoen euro wordt
overgemaakt. Bij slechts 0,0001 procent van de
feit dat banken het betalingsverkeer veel transacties wordt fraude gepleegd. Volgens de
Nederlandse Vereniging van Banken (NVB) is dit het
bewijs dat het betalingsverkeer in Nederland veilig
nauwlettender in de gaten houden. Hierdoor worden
is.
verdachte transacties veel sneller opgemerkt dan
voorheen. De daling van de fraude met internetbankieren is deels ook toe te schrijven aan de
oprichting in 2011 van de Electronic Crimes Task Force (ECTF), waarin banken samenwerken
met het Openbaar Ministerie en politie. (in eerste instantie ondergebracht bij het KLPD, sinds 1
januari 2013 bij de nationale recherche). Bovendien zijn consumenten zich ook meer bewust
van de methoden die criminelen gebruiken om te frauderen.
Ook het skimmen vertoonde in de tweede helft van 2012 een sterke daling (41%). Dit is vooral
het gevolg van de invoering van de EMV-chip waarvan de magneetstrip niet meer te kopiëren is
(‘het nieuwe pinnen’). Door introductie van het geoblocking kan de pinpas buiten Europa niet
worden gebruikt, tenzij de eigenaar van de pas dit expliciet toestaat [NVB,2.4.13].
Ook uit de cijfers van de NVB blijkt dat de focus van internetfraudeurs verschuift van het
hengelen naar vertrouwelijke gegevens (phishing), naar de ontwikkeling van malware waarbij
criminelen speciale software schrijven om computers te infiltreren. Voor cybercriminelen is er
een ruim aanbod van kwaadaardige software waarmee bankrekeningen geplunderd kunnen
worden. Voorbeelden van deze banking trojans zijn: Tatanga, Feodo, Carberp, Citadel (Dorifel),
Mebroot, SpyEye en Zeus.

Zeus
«Zeus» —ook bekend als ZeuS of Zbot— is
een Trojaans paard dat gebruikt kan worden
om meerdere illegale activiteiten uit te
voeren: versturen van spam, deelname aan
DDoS-aanvallen, verzamelen van
persoonsgegevens (‘credentials’) voor online
diensten, inclusief bancaire diensten. De
diverse botnets van Zeus compromitteerden
miljoenen computers in 196 landen (vooral in
Egypte, de VS, Mexico, Saoedi-Arabië en Turkije). In de criminele wereld wordt Zeus verkocht
voor $3.000-4.000. Bij criminelen die gespecialiseerd zijn in financiële fraude is Zeus zeer
populair.
Zeus steelt informatie die in http-formulieren wordt ingevoerd, accountgegevens die zijn
opgeslagen in de Windows Protected Storage, en certificaten van FTP en POP abonnementen.
Het modificeert HTML-pagina’s van websites, zoekt naar bestanden en uploadt deze, wijzigt
bestanden van lokale gastheren, en vernietigt cruciale registratiesleutels [Secureworks,
11.3.10].
Zeus is voorzien van een KOS-commando (Kill Operating System) waarmee essentiële
computerbestanden worden vernietigd waardoor de computers onbruikbaar worden. De
aanvallers verminken de PC met opzet zodat ze meer tijd krijgen om de bankrekeningen te
plunderen. De rovers hebben die tijd nodig om met de gestolen inlogggevens de bankrekening
te plunderen en het geld naar verschillende katvangers over te maken. Slachtoffers zijn niet
meer in staat online hun bankrekening te blokkeren of malafide transacties terug te draaien.

588
Werking van het Trojaanse paard Zeus

[klik om te vergroten]
Zeus is eenvoudig te gebruiken, makkelijk verkrijgbaar en zeer effectief. Ze wordt daarom wel
“de koning van de botnets” genoemd. Zeus is een intelligent geconstrueerd Trojaans paard dat
er telkens weer in slaagt om beveiligingsmaatregelen en detectie te omzeilen.
Aanvankelijk infecteerde Zeus alleen Windows computers die FireFox en Internet Explorer
gebruiken als webbrowser. Het criminele paard kan inmiddels ook andere besturingssystemen
en browsers besmetten.

Sinds 2011 is er een Zeus-variant opereert in mobiele

apparaten die draaien op Android besturingssysteem.
«Zitmo» infecteert Android mobieltjes en onderschept
de codes die gebruikt worden om financiële transacties
te beveiligen. Zeus word geactiveerd zodra een
gebruiker van een geïnfecteerde telefoon probeert
toegang te krijgen tot een website van zijn bank. Om
het inlogproces te voltooien vraagt Zeus aan de
gebruiker om een beveiligingscomponent te downloaden
op hun mobiele apparaat. Deze component geeft de
cybercrimineel volledige controle over het mobiele apparaat. Op naam van de gebruiker wordt
vervolgens een frauduleuze transactie uitgevoerd. Het bevestigingsbericht van deze transactie
wordt van het apparaat verwijderd zodat de gebruiker het niet ziet.
Sinds de broncode van Zeus in 2011 werd gelekt, lijkt elke nieuwe criminele code om
bankrekeningen te plunderen gebruik te maken van de basismodules en constructieprincipes
van Zeus.
Door het succes van Zeus verschenen er talloze copycats die Zeus probeerden te imiteren. In
concurrenten zoals SpyEye (Eyebots) is een «kill Zeus» optie ingebouwd waardoor Zeus-bots
kunnen worden overgenomen. Dit leidde tot een botnetoorlog [eWeek, 17.2.11]. Criminele
groepen vechten hun onderlinge strijd uit door het kapen van elkaars botnets.
De maker van de Zeus malware (een Russische hacker die opereert onder de naam ‘Slavik’ en ‘Monstr’)
droeg in 2010 de verantwoordelijkheid voor zijn code over aan de auteur van SpyEye, de Zwitser Roman
H�ssy [Krebsonline, 10.10.10; ThreatPost, 9.11.10].
Eind 2011 verscheen een geheel nieuw platform voor botnets op de markt dat gebaseerd was
op de broncode van Zeus: Citadel. Voor ongeveer € 2.000 was het platform te koop, inclusief
handleiding, licentie-overeenkomst, release notes en toegang tot een forum voor
ontwikkelaars. Citadel is een open source platform waarbij gebruikers suggesties kunnen doen
om functies toe te voegen of te perfectioneren. Met gewone meerderheid wordt gestemd over
voorstellen voor nieuwe functies en modules [Threatpost, 8.2.12] Webwereld, 17.2.12;
Security.n;l, 10.8.12; Webwereld, 15.08.12].
Cybercriminelen gebruiken zeer uiteenlopende methodes en technieken om bankgegevens te stelen. Bekende

methodes zijn: man-in-the-browser, keyloggers en form grabbing.
Man-in-the-browser (MiTB of MIB) is een computeraanval waarbij een Trojaans paard een webbrowser
infecteert om tijdens het internetbankieren webpagina’s te veranderen of zelfstandig transacties uit te voeren.
Gebruikers merken daar meestal niet van om zij zich op de echte website van de aanbieder bevinden, correct
zijningelogd en de ongewenste transacties er voor hen uitzien als normale transacties. Maar de bank ontvangt

andere instructies met een ander rekeningnummer als begunstigde. Trojaanse paarden die deze aanvalsvorm
gebruiken, zijn onder meer Agent.DBJP, Bugat, Carberp, ChromeInject, Clampi, Gozi, Nuklus, OddJob en
Citadel.
Keyloggers registeren de toetsen die op een toetsenbord worden aangeslagen. Maar zij registeren niet de
teksten die ineen formulier of die worden inteypt op een virtueel toetsenbord. Hetzelfde geldt voor
gebruikersnamen en wachtwoorden die automatisch worden ingevuld.
Form Grabbing is een aanvalsmethodiek waardoor authorisatie- en inloggegevens van een webformulier
worden opgevist voordat zij via internet naar een veilige server worden overgedragen. De bankgegevens van
de slachtoffers worden ook geregisteerd wanneer zij gebruik maken van een virtueel toetsenbord, auto-fill of
van copy-and-paste.
Vereenvoudiging van digitale bankroof

Voorheen verstopten banking Trojans zich in de webbrowser. Middels deze man-in-the-browser-aanval kaapte
de malware in real-time de sessie van de gebruiker. Inmiddels herkennen de beveiligingssystemen van banken
deze anomalieën tijdens de transacties en kunnen zij de activiteiten van deze banking Trojans blokkeren.
Om minder snel op te vallen is de malware inmiddels aangepast en is er voor een eenvoudigere aanpak
gekozen. Wanneer gebruikers op hun online bankrekening inloggen, krijgen zij een valse webpagina te zien die
erg lijkt op de officiële bankpagina. Als de gebruiker op deze neppagina zijn inloggegevens invult, worden die
naar de cybercriminelen doorgestuurd. De gebruiker krijgt een foutmelding te zien dat internetbankieren
tijdelijk onbereikbaar is” [Security.nl, 11.2.13].
Met deze tactiek bereikt de gebruiker nooit de inlogpagina van de bank. Zo wordt voorkomen dat de
verdedigingssystemen van de bank de malware detecteren en de fraude identificeren.
Uitbreiding van banking trojans

De nieuwste banking malware valt niet alleen banksites aan, maar ook sociale media, middenstanders en
gameportalen. Ze voegen extra velden toe aan webformulieren om PIN-codes en andere gevoelige informatie
te stelen en ze wissen hun sporen van het webverkeer.
Een voorbeeld daarvan is Neverquest, een nieuwere versie van de Gozi Trojan die verantwoordelijk was voor
het stelen van miljoenen euro’s van bankrekeningen van slachtoffers [ThreatPost, 4.9.14].
Neverquest wordt verspreid via de exploitatie-bouwdoos Neutrino. Het kwaadaardige paard is zo

geprogrammeerd dat het zichzelf activeert als een slachtoffer een van de meer dan 100 banken en financiële
instellingen bezoekt die in de malware zijn gedefinieerd. Bankgegevens en andere persoonsgegevens worden
verzameld en naar de cybercriminelen verstuurd. Om namens het slachtoffer transacties uit te voeren maken
de cybercriminelen een VNC-verbinding aan en slepen de rekeningen leeg. Het geld wordt overgemaakt naar
rekeningen van de cybercrimineel zelf of zijn geldezel, of naar rekeningen van andere slachtoffers. Soms
worden de inloggegevens veranderd waardoor het slachtoffer helemaal niet meer bij zijn eigen rekening kan
komen.
Net als Zeus is ook Neverquest op de zwarte markt te koop. Maar anders dan met Zeus zijn er voor de
bediening van Neverquest geen gekwalificeerde controleurs nodig. Het criminele kind kan hier de malafide was
doen [TechRepublic, 30.12.14].
Banken meervoudig in de klem

Banken staan bloot aan zeer uiteenlopende cyberaanvallen van een grote en gevarieerde
schare aanvallers. Cybercriminelen richten op de individuele klanten van een bank, maar ook
op de transactiesystemen van de bank zelf of op het interbancaire geldverkeer.
De meest gangbare cyberaanvallen op banken zijn DDoS-aanvallen. Omvangrijke botnets

worden gemobiliseerd om de toegang tot de inlogpagina’s voor telebankieren te versperren. De

hackers die zo’n aanval lanceren zijn net zo divers al hun motieven.
Vandalistische hackers
De aanval kan een kwajongensstreek van hobbyistische hackers zijn, een hinderlijke
treiteractie van digitale vandalen. Zij veroorzaken een kortstondige pain in the ass, maar
richten minimale (maar daarom niet verwaarloosbare) schade aan. Het opzetten van een
DDoS-aanval is relatief eenvoudig. Een typische flooding-aanval is vanuit de huiskamer op
te zetten.
Revanche van ontevredenen
De aanval kan op touw zijn gezet door een klant die zich door de bank bestolen voelt, of
door een ontevreden eigen werknemer. Vaak zijn het de eigen werknemers die de grootste
bedreiging vormen. Bovendien zijn juist zij zeer goed op de hoogte van de werking van
bancaire computersystemen en dus ook met de kwetsbaarheden daarvan. Ontevreden
werknemers en rancuneuze ex-werknemers zijn in staat om een bank substantiële schade te
berokkenen.
Afleidingsmanoeuvre
Een DDoS-aanval kan als afleidingsmanoeuvre worden ingezet. Daarbij wordt aan de
voordeur van de banksite veel kabaal gemaakt, om vervolgens zo stiekem mogelijk langs
een achterdeurtje in het transactiesysteem te penetreren. In dat geval wordt een DDoS-
aanval gebruikt om het werkelijke doel (= malafide transacties) te verhullen. Het is ook niet
ondenkbaar dat banken zich beroepen op een ‘cyberaanval’ om schadeclaims te ontlopen die
door gedupeerde rekeninghouders kunnen indienen omdat de bank zelf onbetrouwbaar of
instabiel (storingsgevoelig) is.
DDoS-aanval + Cyberinbraak
In Amerika werd een digitale bankroof gepleegd die werd mogelijk gemaakt door een slim opgezette DDoS-
aanval. Terwijl de verdediging van de bank concentreerde zich op deze DDoS-aanval gingen de crackers
aan de haal met pinpas- en betaalkaartgegevens. Met deze data werden pasjes gekloond waarmee geld uit
pinautomaten werd getrokken. Omdat de DDoS-aanval tegelijkertijd het telefoonsysteem van de bank
platlegde, konden klanten niet worden benaderd over verdachte transacties op hun rekeningen. De
cyberbende sprokkelde zo in 48 uur 9 miljoen dollar bij elkaar.
Het lamleggen van een banksysteem met een DDoS-aanval levert voor een cyberbende tijd op om
rekeningen leeg te trekken. De DDoS-aanval fungeert als een afleidingsmanoevre die ervoor zorgt dat de
cyberinval zo lang mogelijk onopgemerkt blijft. “Bij een DDoS-aanval zijn IT-ers druk bezig de site of
server in te lucht te houden of te krijgen en hebben dan mogelijk minder aandacht voor andere
toegangspoorten in het netwerk” [Webwereld, 22.10.12]. In de beveiligingsgemeenschap zijn nog geen
goede scenario’s ontwikkeld voor de verdediging tegen aanvallen die van meerdere kanten tegelijk komen.
Voorbereidingsmanoeuvre
Cyberaanvallen op bancaire systemen worden soms eerst getest (onder druk gezet) om hun

kwetsbaarheden te ontdekken. Soms is een DDoS-aanval slechts een opstap voor een
vervolgactie. De meest eenvoudige vorm daarvan is deze: (i) blokkeer de toegang tot
inlogpagina’s voor internetbankiers met een eenvoudige DDoS-aanval, (ii) misleid
vervolgens de verontrustte clientele van de bank met een lokmail die hen ertoe verleid hun
inlogcodes af te staan.
Afpersing
Cybercriminelen kunnen de toegang tot banksites blokkkeren of klantgegevens stelen en
daarmee banken afpersen. De criminelen beloven dat zij hun acties zullen staken als er
losgeld is betaald.
Vijandige concullega’s
Banken kunnen in cyberspace worden aangevallen door andere concurrerende banken. De
nationale maar vooral ook steeds meer globale concurrentie tussen bankconsortia wordt
door sommige actoren ook gevoerd met andere dan ‘marktconforme’ middelen. De
versluierende metafoor van het ‘buiteneconomisch’ geweld neemt hier steeds meer de vorm
aan van «digitaal geweld». Digitaal of geweld is weliswaar louter ‘virtueel’ geënsceneerd,
maar daarom in zijn gevolgen niet minder effectief en reëel.
Politiek activisme
Soms worden banken aangevallen door politiek gemotiveerde cyberactivisten. Het spectrum
van actoren loopt uiteen van (i) humanitair geïnspireerde activisten die protesteren tegen
het in hun ogen illegitieme of immorele investeringsbeleid van een bepaalde bank, via (ii)
politiek-religieus geïnspireerde terroristische bewegingen die de financiële infrastructuur van
hun vijandige staten ontregelen, tot (iii) individuele vaderlandslievende cyberrambo’s die
het heft in eigen hand nemen —al dan niet officieel of inofficieel (openlijk of heimelijk)
aangemoedigd, gesponsord of getolereerd door de regeringsautoriteiten.
Cyberoorlog
Cyberaanvallen op bancaire systemen worden ook gelanceerd door rivaliserende nationale
staten die een strategisch voordeel proberen te behalen door het financieel verkeer van de
conflicttegenstander te ontregelen. De schade die daarmee wordt aangebracht is zeer
substantieel en duurzaam.
Bij cyberaanvallen op banken is het in eerste

instantie altijd zeer lastig om vast te stellen
met wat voor soort aanvallers men te maken
heeft en wat hun precieze intenties zijn. Dat
was ook het geval met de grootscheepse
DDoS-aanval die vanaf 5 april 2013 werd
uitgevoerd op de ING Bank en het

betalingssysteem iDeal. De aanvallers belastten de servers van meerdere banken door

herhaaldelijk proberen in te loggen met behulp van gekaapte computers van het aanvallende
botnet. Het online betalingsverkeer werd een aantal dagen lang gestoord.
Zoals gebruikelijk werd de aanval niet rechtstreeks vanaf één bron gelanceerd, maar via een
veelvoud van gemaskeerde IP-adressen. Om de bron of bronnen te lokaliseren moeten eerst de
schakels tussen deze proxies in kaart worden gebracht.
Het Team High Tech Crime (THTC) van de politie “Digitaal geld is ondertussen zo�n groot deel
van ons leven uit gaan maken dat de
begon in opdracht van het Openbaar Ministerie een
veiligheid daarvan geborgd moet zijn”
onderzoek naar de cyberaanval. Het Nationaal Cyber [Kamerlid Arnold Merkies, in: SP.nl].
Security Centrum (NCSC) probeerde om de servers

die achter de aanval zaten offline te krijgen [Nu.nl, 6.4.13; NOS, 6.4.13].
De identiteit en intenties van de aanvallers zijn nog niet bekend. Ook niet of de oplichters die
misbruik maakten van de onzekerheid bij ING-klanten door daarop inspelende frauduleuze
lokmails te versturen ook verantwoordelijk waren voor de DDoS-aanval. Niemand claimde de
verantwoordelijkheid voor de DDoS-aanval [NSSC, 9.4.13].
De Nederlandse Vereniging van Banken (NVB) stelde voor om cyberaanvallen op banken te

verheffen tot een zaak van nationale veiligheid. Maar als dat gebeurt heeft de Nederlandse
overheid ook de plicht om regels te stellen aan het beveiligingsbeleid van particuliere banken.
Dat zal de banken minder bevallen.
Pas op voor nepmails ING

Soms zijn simpele DDoS-aanvallen die de bandbreedte overbelasten alleen maar bedoeld om de klanten of
gebruikers van de aangevallen site of server onzeker te maken. Van die onzekerheid wordt vervolgens direct
gebruik gemaakt door lokmails waarin de verontrustte clientèle wordt uitgenodigd om op een bepaalde link te
klikken die ervoor zorgt dat je weer veilig bent.
Het is een klassieke tactiek van de Italiaanse maffia: je stuurt eerst de harde, dreigende enforcers naar het
doelwit, vervolgens stuur je de behulpzame redders in de nood om je daartegen te beschermen. Het
uiteindelijk resultaat is dat het slachtoffer een hoge rekening betaald voor zijn protectie — het slachtoffer
wordt bestolen.
Op het internet gaat dit subtieler, maar het resultaat is hetzelfde. Dit was de lokmail waarmee ING-
rekeninghouders werden bestookt.

“Cybercriminelen misbruiken de recente aanval op sites van Nederlandse banken om phishingmails te

versturen. Momenteel is er een nepbericht van ING in omloop waarin staat dat door internetfraude uw
rekeninggegevens onvoldoende beveiligd zijn. U wordt gevraagd op een link te klikken om uw gegevens te
beveiligen. Doe dat niet, maar verwijder het bericht.
Het bericht is een duidelijk geval van phishing: een vorm van internetfraude,
waarmee fraudeurs proberen achter uw bankgegevens te komen. In
phishingberichten wordt u gevraagd om persoonlijke gegevens, zoals uw naam,
adres, telefoonnummer, rekeningnummer of inloggegevens van uw bank. Of u
wordt gevraagd op een link te klikken. Onthoud dat uw bank nooit via e-mail, telefoon of sms om persoonlijke
gegevens zal vragen. Ook zal uw bank u nooit via een onpersoonlijk bericht vragen een nieuwe website te
testen, de veiligheid van internetbankieren te testen of mee te werken aan een update van internetbankieren.
Krijgt u zo'n verzoek? Ga hier dan dus niet op in” [Politie, 9.4.13].
Bankroof in de 21ste eeuw

Bankovervallen worden niet meer gepleegd door gemaskerde criminelen die gewapend een
bankfiliaal binnenstormen, maar door cyberboeven die achter computers zitten waarmee zij
vanaf veilige afstand inbreken op de computersystemen van een bank of van hun klanten.
Er zijn cyberaanvallen bekend waarbij 130 banken binnen één dag 10 miljoen dollar verloren.
Als dit een traditionele bankroof was geweest, zou het wereldnieuws zijn geworden. In dit geval
besloten de bankdirecties om geen ruchtbaarheid te geven aan deze cyberroofoverval uit angst
dat dit hun zaken negatief zou beïnvloeden. Verlies van veiligheidsreputatie en klantvertrouwen
is de nachtmerrie voor elke bankier.

De criminelen hadden ingebroken op een computernetwerk waar zij informatie stalen van
meerdere rekeningen. De PIN-codes werden ontcijferd en met deze gegevens werden witte
plastic pasjes gemaakt waarmee via geldautomaten rekeningen werden leeggeroofd. Om deze
klus te klaren, kwamen tientallen criminelen tegelijk in actie in 49 steden in Europa, Noord-
Amerika, Zuid-Amerika en Azië. Het illustreert de internationalisering van cybercriminaliteit. In
totaal werd bij deze Operation High Roller $2,5 miljard gestolen [Business Insider, 28.6.12].
Beroving van Citibank

De eerste grote internationale cyberbankroof vond plaats in 1995. Deze werd uitgevoerd
door de Russische student Vladimir Levin. Hij brak in op de servers van de Citibank in
Engeland en maakte ongeveer 10,7 miljoen dollar over op diverse rekeningen in de VS,
Finland, Nederland, Duitsland en Israël. Levin nam zijn laptop mee naar Londen en wist
daar zijn krakershand te leggen op een lijst met klantencodes en wachtwoorden. In de
weken daarna logde hij 18 keer in om grote sommen geld over te maken naar zijn eigen
rekeningen.
Toen Citibank de diefstal ontdekte, werd de klopjacht op de

hacker ingezet. In maart 1995 werd hij op het vliegveld in
Londen gearresteerd. Dertig maanden lang vocht hij zijn
uitlevering aan, maar werd uiteindelijk in de VS voor het
gerecht gebracht. Daar werd hij op 24 februari 1998
veroordeeld tot 3 jaar gevangenisstraf en hij moest $240.015
terugbetalen aan Citibank. Ook vier andere leden van de groep
waarmee Levin zijn bankroof had uitgevoerd, werden tot
Vladimir Levin
gevangenisstraffen veroordeeld.
Na zijn arrestatie verspreidden anonieme hackers uit St. Petersburg het bericht dat Levin
(die biochemie studeerde op de Tekhnologichesky Universiteit in diezelfde stad) niet over de
technische vaardigheden beschikte om in de computersystemen van Citibank in te breken.
Zij zouden er zelf wel in geslaagd om diep door te dringen in het netwerk van de bank en
zouden de details over deze toegang voor 100 dollar aan Levin hebben verkocht.
Datadiefstal bij Internationaal Monetair Fonds

Banken worden door cybercriminelen beroofd van geld. Internationale financiële instellingen
worden door politiek gemotiveerde hackers gekraakt om data te stelen. Medio 2011 bleek
dat hackers hadden ingebroken op de computers van het IMF. Het was een geavanceerde
inbraak die goed was voorbereid via een speervisactie [BBC, 13.6.11]. Maandenlang slopen
de hackers onopgemerkt op de computersystemen van het IMF binnen om daar geleidelijk

grote hoeveelheden aan data te stelen met zeer

vertrouwelijke informatie over de fiscale condities van veel
landen. Vermoedelijk was dit een operatie die door een
staat was georganiseerd [New York Times, 11.6.11;
Bloomberg, 14.6.11]. Beveiligingsanalisten omschreven
het als een «staatskraak». Maar het is altijd makkelijker
voor organisaties om zich te verschuilen achter boze buitenlandse regeringen dan om toe te
geven dat de beveiliging van de eigen systemen ondeugdelijk is. In ieder geval waren de
krakers eerder op inlichtingen uit dan op het ontregelen van het netwerk.
Het IMF speelt een belangrijke rol in de economische herstelprogramma’s voor Griekenland,
Portugal, Spanje en Ierland. De databestanden van het IMF bevatten informatie die markten
in een bepaalde richting kunnen duwen en verslagen van onderhandelingen met
regeringsleiders over de voorwaarden van internationale financiële steun. Als die informatie
in verkeerde handen komt is dat politieke dynamiet.
Leningen en olie
Er was al eerder ingebroken in het netwerk van het IMF. Wat voor informatie er werd gestolen bleef
onbekend, maar op 7 november 2008 werd het computernetwerk van de IMF een aantal dagen stilgelegd.
Volgens een voormalige Britse inlichtingenofficier, Nick Day, zat de Chinese regering achter deze aanval.
“Waar de Chinezen met name in geïnteresseerd zijn, is welke leningen het IMF aan andere landen gaat
geven. De geopolitiek daarvan is dat er een aantal landen zijn die op enorme buitenlandse financiële
reserves zitten —Rusland, China, Japan en het Midden-Oosten— en de rest van ons leent van die
kredietverschaffers” [Foxnews, 14.11.08; Webwereld, 6.11.08]. Wie vroegtijdig informatie over leningen in
handen krijgt, kan andere landen —vooral landen uit de derde wereld met mineralen en olie— benaderen
om bij hen een lening af te sluiten, in plaats van bij het IMF.
Bank of Musmac - Oman

Op 19 februari 2013 werd wereldwijd met gehackte creditcards van de Bank of Muscat 30
miljoen euro gepind. De cybercriminelen wisten met een hack betaalpassen te skimmen. De
gegevens die daarop stonden werden op magneetstrips gezet, die op andere passen werden
gekopieerd. Het geld werd niet van bankklanten gesstolen, maar van rekeningen van
banken zelf.
De eerste roof van bijna 4 miljoen euro vond plaats op 21 december 2012. De hackers
infiltreerden het systeem van een Indische creditcerdverwerkingsbedrijf dat handelt in Visa
en MasterCard prepaidaccounts. Zij verhoogden de opnamelimieten op prepaid MasterCard
debitrekeningen die worden uitgegeven door de Nationale Bank van Ras Al-Khaimah in de
Verenigde Arabische Emiraten. Door het verwijderen van de opnamelimieten hadden de
criminelen slechts een aantal rekeningnumers nodig om een financi�le instelling enorme
verliezen te bezorgen.

Bij de tweede roof op 19 februari werd ruim 30 miljoen euro uit geldautomaten getrokken.
Daarvoor werden over in 23 landendoor een leger van katvangers 4.500 transacties
uitgevoerd. Er werd onder meer gepind in Japan, Rusland, Roemeni�, Egypte, Colombia, Sri
Lanka en Canada. De criminelen hadden hiervoor ingebroken in het systeem van een
Amerikaans creditcardverwerkingsbedrijf en hackten daar twaalf rekeningen. Ook dit keer
wisten de criminelen de opnamelimiet van de kaarten te verwijderen en stond er een nog
groter leger van katvangers klaar om met de gestolen kaartgegevens geld op te nemen
[Security, 10.5.13].
De groep criminelen in New York werd als eerste betrapt. Ze

stonden op foto’s terwijl ze door de stad trokken om geld op te
nemen en hun rugzakken vulden met cash geld. Acht mensen
werden aangeklaagd voor bankroof [NYT, 9.5.13]. Op 19 februari
trokken de dieven in een tijdsbestek van 10 uur 2.904
pinautomaten leeg. De vermoedelijke bendeleider, Alberto Lajud-
Pe�a (25) ontsprong de dans en vluchtte uit Amerika. Op 27
Twee van de Amerikaanse
maart 2013 werd dood gevonden in de Dominicaanse Republiek. bankrovers poseren met rond
de 40.000 dollar in cash.
Twee gemaskerde gangsters bestormden zijn huis waar hij domino [Klik om te vergroten]
zat te spelen en begonnen te schieten [Crimesite, 12.5.13].
Bij de groep die in Duitsland pinden in de wereldwijde roof die in New York was opgezet,
speelden Nederlanders een belanrijke rol. In D�sseldorf stonden twee Nederlanders terecht
voor de miljoenenroof. Zij werden beschuldigd van computerfraude en het vervalsen van
creditcards.De Haagse timmerman Eddy Z. (35) en zijn moeder Wilma Z. (56) werden in
D�sseldorf gearresteerd met bijna 168.000 euro cash in de laadruimte van hun bestelbusje.
’Om drie uur in de nacht bleven de timmerman en zijn moeder maar geld pinnen in het bankfiliaal aan de
Wesfalenstraße in D�sseldorf.
Op de mobiele telefoon van Eddy Z. troffen de rechercheurs Nederlandse sms’jes aan van
de pinteams in Frankfurt, Duisburg en Bremen. De criminelen elkaar op de hoogte via sms.
Er werden berichtjes naar elkaar gestuurd zoals ‘We zijn succesvol’, ‘Het werktt’ en ‘Ik heb
weer 2500 euro en rij nu naar huis’. De timmerman en zijn moeder werden veroordeeld tot
vier jaar en drie maanden cel [Die Welt, 15.11.13; Telegraaf, 4.2.14].
Later werden nog zeven andere verdachten uit Nederland ge�dentificeerd en aangehouden.
Evgeniy Mikhailovich Bogachev

Anapa is een prachtige Russische

badplaats aan de Zwarte Zee. Daar

woonde de 30-jarige Evgeniy
Bogachev, bijnaam ‘Slavik’. In de
hackersgemeenschap werd hij berucht
als leider een bende Russische en
Oekra�ense cybercriminelen die via
online banktransacties miljoenen
dollars buit wisten te maken. De bende
ontwierp en gebruikte het botnet
GameOver Zeus (GOZ) dat meer dan 1
Bogachev werd beschouwd als de grootste bedreiging voor
miljoen Windows computers het Amerikaanse banksysteem. Nooit zette hij een stap in de
VS. Zijn hele operatie voerde hij uit via aanslagen op zijn
infecteerde en meer dan $100 miljoen toetsenbord vanuit zijn huis aan de kust van de Zwarte Zee.
in online banktransacties stal. De FBI omschreef GOZ als �een extreem geavanceerd type
malware dat specifiek ontworpen is om banken andere vertrouwelijke informatie te stelen
van de computers die het infecteert” [IBTimes, 3.6.14]. Het wordt voornamelijk verspreid
via e-mail spam of hengelberichten.
Het botnet kende een gedecentraliseerde Gecentraliseerde commando & controle

servers kunnen door beveiligingsexperts
infrastructuur waardoor de instructies voor
worden ge�dentificeerd en geblokkeerd. GOZ
ge�nfecteerde computers van elke andere is een gedecentraliseerde peer-to-peer (P2P)
variant de Zeus familie van bankgegevens
ge�nfecteerde computers in het netwerk konden
stelende malware die in september 2011 werd
komen. Overname van GOZ werd hierdoor ontdekt. Om detectie te voorkomen wordt
aanzienlijk moeilijker, maar niet onmogelijk. bovendien gebruik gemaakt van encryptie.
GOZ is zeer veerkrachtig omdat het geen
single point of failure kent.
De slachtoffers van Bogachev’s bende waren onder
andere een Amerikaans-Indiaanse stam in Washington state, een verzekeringsmaatschappij,
een lokale politieafdeling in Massachusetts, een pestcontrole bedrijf in North Carolina, een
restaurant en een regionale bank in Florida.
De GOZ onderschept wachtwoorden en andere persoonlijke informatie die gebruikt wordt

om geld over te maken. De malware verstuurt vervolgens geld van de bankrekening van het
slachtoffer over naar buitenlandse bankrekeningen die door de cybercriminelen worden
gecontroleerd.
Via het GOZ botnet werd ook de ransomware CryptoLocker verspreid die in april 2014 al
meer dan 200.000 computers over te hele wereld had ge�nfecteerd. Op deze manier
haalde de bende $27 miljoen losgeld binnen.
aanklachten in Pittsburgh. 2 juni 2014 kwam hij voor.

Bankroof ABN Amro & Rabobank - Amsterdam

Op 18 augustus 2014 veroordeelde de rechtbank in In december 2010 werden al dertien
verdachten in deze zaak aangehouden. Toen
Amsterdam zes mannen tot vier jaar celstraf,
leek het te gaan om een fraudebedrag van 5,6
wegens het stelen van zo’n 45 miljoen euro bij ABN miljoen euro en werd gedacht dat alleen ABN
Amro het slachtoffer was. Daarna bleek het
Amro en de Rabobank. De digitale bankroof vond
bedrag te zijn opgelopen tot 45 miljoen euro
plaats door de aan- en verkoop van opties en en bleek ook de Rabobank gedupeerd.
maakten daarbij gebruik van een lek in het De zes veroordeelde criminelen werden op 23
computersysteem van de banken. Via internet mei 2011 gearresteerd. Het zijn vijf mannen
en een vrouw, die wonen in Bunschoten,
verhandelde de bende opties in de korte periode
Beneden Leeuwen, Utrecht, Amersfoort,
tussen de digitale aanschaf en het afrekenen bij de Nijkerk en Altforst.
bank. Door een fout in de banksystemen van zowel De banken hebben zelf 42 miljoen euro
teruggehaald en justitie legde voor een aantal
de ABN Amro als de Rabobank werden de orders
miljoen beslag. Er werd ondermeer beslag
pas enige tijd later afgerekend. In de tussentijd gelegd op sportauto’s, twee vrachtwagens,
hadden de criminelen de opties al doorverkocht en twee scooters en een buitenjacuzzi. Ook werd
voor een waarde van 900.000 euro beslag
de opbrengst snel overgeboekt naar buitenlandse gelegd op meerdere huizen [Nieuwsuur,
rekeningen. Op die manier werden in twee jaar 24.5.11].
enorme sommen geld achterover gedrukt. Volgens de rechtbank had de internetbende door
hun acties het vertrouwen van particulieren in digitaal beleggen en bankieren een forse klap
toegebracht.
De hoofdverdachte, oud-politieman Ed M. (55) uit Bunschoten beweerde dat hij toevallig

tegen een lek van de bank zou zijn aangelopen, maar de rechtbank veegde dat verhaal van
tafel. De zes bankrovers werden veroordeeld voor oplichting, witwassen en deelname aan
een criminele organisatie [OM, 18.8.14; NRC, 19.6.14; Telegraaf 18.8.14; AD, 18.8.14].
JPMorgan Chase & Co. (JPM)

In augustus 2014 werden minstens vijf Amerikaanse banken in de VS aangevallen door
Russische hackers. JPM was daar een van. Daar werden gigabytes aan klantgegevens
gestolen. De FBI vermoedde dat deze aanval een vergelding was voor de sancties die
America aan Rusland had opgelegd vanwege haar aggressieve optreden in de Oekra�ne.
De hackers kregen toegang tot de websites van de bank door een zero-day softwarelek.
Vervolgens ploegden zij zich door uitgebreide beveiligingslagen om de data te stelen. Gezien
de subtiliteit van de aanval rees het vermoeden dat zij niet zonder overheidssteun kon
worden uitgevoerd [Bloomberg, 28.8.14; Bloomberg, 3.9.14; NYT, 27.8.14; Guardian,
28.89.14].
EEX — Zwendel met emissiecertificaten in EU

Overal waar geld een rol speelt, komen criminelen in actie om het te stelen. In januari 2011
sloegen cyberexperts wereldwijd alarm: hackers waren er in geslaagd in te breken bij het
handelssysteem voor emissiecertificaten van de Europese Unie (EEX). De hackers hadden
certificaten ter waarde van 30 miljoen euro gestolen en enige dagen later weer ongestoord
verkocht. De handel moest worden stilgelegd. Wie de cybercriminelen waren, werd nooit
ontdekt. Deze aanval demonstreerde dat de handel, de financiële markt intussen ook in het
vizier van cyberaanvallers was gekomen.
Via lokmails hadden de cybercriminelen zich toegang verschaft tot de databanken die officiële
informatie bevatten over emissiecertificaten van individuele ondernemingen. De lokmails leken
verstuurd te zijn uit naam van de Deutsche Emissionshandelsstelle (DEHSt). Meerdere
Europese en een aantal Japanse en Nieuw-Zeelandse ondernemingen ontvingen een bericht
waarin zij werden uitgenodigd om door te klikken naar een webpagina om opnieuw hun
gebruikersregistratiegegevens in te voeren. De reden die daarvoor werd gegeven was ironisch:
het beschermen van het register tegen dreigende aanvallen van hackers.
Zo kregen de hackers de beschikking over informatie om emissierechten over te dragen naar

rekeningen in vooral Denemarken en Groot-Brittannië. Van daaruit werden de rechten
vervolgens snel doorverkocht [Financial Times Deutschland, 2.2.10]. Minstens negen van
dergelijke manipulaties werden bekend. Een middelgroot industrieel bedrijf zou al rechten ter
waarde van 1,5 miljoen euro hebben verloren [FTD, 2.2.10].
Het is de vraag of de daders lang konden profiteren van hun gestolen certificaten. De
emissiecertificaten zijn genummerd en kunnen dus worden geïdentificeerd. Het internationale
secretariaat van de UNFCCC kan grensoverschrijdende handel controleren en illegale
transacties ongedaan maken. Maar de kans om op deze manier de buit van de cybercriminelen
terug te krijgen is zeer klein. Om de schade te beperken, sloten talrijke Europese landen hun
certificaatregister een paar dagen af, zodat er even geen transactieboekingen konden worden
doorgevoerd.

Emissiecertificaten
Emissie is een bepaalde hoeveelheid uitstoot van gassen zoals koolstofdioxide die het klimaat negatief
beïnvloeden. Emissiecertificaten zijn een middel om de uitstoot van schadelijke stoffen te beperken. Ze zijn
bedoeld om nationale staten en ondernemingen te stimuleren om steeds minder emissies te veroorzaken —
bijvoorbeeld door minder fossiele energiedragers te verbranden. Wie minder emissiecertificaten verbruikt dan
zijn toegedeeld of werden ingekocht, kan zijn overtollige CO2-certificaten verkopen in een daarvoor speciaal
ingericht handelssysteem, de energiebeurs EEX (European Energy Exchange). Nationale staten en
ondernemingen die de atmosfeer sterker vervuilen dan hen eigenlijk is toegestaan, moet daarvoor aanvullende
certificaten verwerven (en dus extra betalen).
Het doel van de EU is om de globale opwarming van de aarde te beperken tot 2 graden Celsius boven het pre-
industriële niveaus. De EU wil de klimaatverandering beperken en voldoet aan haar verplichtingen onder het
Kyoto Protocol. Elke lidstaat verleent haar CO2-uitstotende faciliteiten een bepaalde hoeveelheid
emissierechten door middel van een Nationaal Allocatie Plan. Deze rechten kunnen net als andere waren op de
markt worden verhandeld.
In 2009 was de marktprijs van 1 EUA (1 ton CO2) ongeveer € 12,5. In de 27 lidstaten werden meer dan 2
miljard EUA’s verdeeld aan 12.000 instellingen die CO2 uitstoten. De totale waarde van de CO2-markt van de
EU wordt geschat op € 90 miljard per jaar.
Dit was geen incident. Op 9 december 2009 maakte Europol —het Europese
samenwerkingsverband van de politiediensten— bekend dat de fraude op de handelsmarkt voor
emissies in anderhalf jaar tijd een belastingverlies van € 5 miljard had veroorzaakt, vooral in
Engeland, Frankrijk, Spanje, Denemarken en Nederland. Ook ondernemingen,
elektriciteitsleveranciers en handelaren leden schade. Om verdere verliezen te voorkomen
veranderden Frankrijk, Nederland, het Verenigd Koninkrijk en later ook Spanje hun
belastingregels met betrekking tot deze transacties. Nadat deze maatregelen waren genomen
daalde het marktvolume van deze landen met 90 procent. De grootschalige georganiseerde
criminaliteit tast de geloofwaardigheid van het CO2-handelssysteem aan en leidt tot
substantieel verlies van belastinginkomsten voor regeringen [Europol, 9.12.09; The Telegraph,
10.12.09].

Europese belastingfraude: de ontbrekende handelaar

Sinds de grenzen van de EU in 1992 voor vrije handel werden geopend, wordt er veel btw-
fraude gepleegd. Het is onmogelijk om de omvang van het inkomstenverlies als gevolg van
deze fraude te kwantificeren. De Europese Commissie schatte in 2010 dat de schade als gevolg
van btw-fraude voor de lidstaten jaarlijks rond de €60 miljard bedraagt. Het Europese
Caroussel Netwerk (Eurocanet, een project van de Europese Commissie in Brussel) schatte dat
tussen juni 2005 en juni 2006 de gecombineerde verliezen van de vijf grootste lidstaten —
Frankrijk, Duitsland, Italië, Spanje en het Verenigd Koningrijk— bijna €21 miljard bedroegen
[Europol Review 2010:33]. Voor 2011 schat Europol de waarde van georganiseerde btw-fraude
op €100 miljard per jaar. Het totale verlies van het bedrijfsleven wordt geschat op €750 miljard
tot €1 triljoen.
Criminelen maken gebruik van de techniek van “Missing Trader Intra-Community Fraud”
(MTIC). Ze kopen CO2-certificaten elders in Europa op waar de BTW lager is. Daarna worden de
certificaten doorverkocht naar landen als Nederland en Engeland waar de BTW hoger is [CO2-
krediet carroussel]. De criminelen steken het verschil in hun zak. Deze tactiek wordt vaker
toegepast in de handel van mobiele goederen over Europese grenzen, zoals mobiele telefoons,
computers, sigaretten en edele metalen.
De criminelen verspreiden hun activiteiten over meerdere lidstaten tegelijkertijd en zijn

daardoor in staat om de verschillende eigenaardigheden en zwaktes van de nationale
belastingsystemen te exploiteren en de werkelijke verbindingen tussen deelnemers te
verbergen. De criminelen die het scenario opzetten en die verantwoordelijk zijn voor de
belastingfraude —de ontbrekende handelaren— opereren slechts korte tijd, voordat zij van het
toneel verdwijnen. “De fraudeschema’s zijn gebaseerd op virtuele of reële carroussel
transacties waarbij dezelfde ‘goederen’ verschillende keren worden gekocht en verkocht“
[Europol Review 2009:32]. In vakkringen wordt dit btw-carrousselfraude genoemd.
De enige databank waarin MTIC-gerelateerde criminele informatie wordt opgeslagen is de

Europol Analysis Work File on Missing Trader Intra-Community Fraud. Europol houdt de btw-
fraude nauwkeurig in de gaten en probeert de daders op te sporen.
Operatie TulipBox
In de strijd tegen fraude met emissiecertificaten worden soms kleine successen behaald. Ondersteund door
Europol vielen op 19 augustus 2009 agenten de Britse belastingdienst (HMRC) 27 locaties binnen: 24 in het
Verenigd Koninkrijk en 3 in Nieuw Zeeland. Daarbij werden 9 mensen gearresteerd en ongeveer €3 miljoen in
beslag genomen dat geparkeerd stond op een bank in Nieuw Zeeland. De arrestanten waren lid van een
crimineel netwerk dat zich gespecialiseerd had in CO2-kredietfraude. In heel Europa werden in 2010 invallen
gedaan in honderd kantoren en werden meer dan 100 mensen gearresteerd [Europol, 9.12.10].

Cybercriminelen hebben hun activiteiten in snel tempo uitgebreid naar de milieu- en

energiemarkten. De fraude met CO2-certificaten (ook wel CO2-kredietfraude genoemd)
indiceerde slechts het omslagpunt. De btw-fraude fraude tast niet alleen de financiële belangen
van de Europese gemeenschap aan, maar heeft ook gevolgen voor legale ondernemingen die
niet op niveau kunnen concurreren in sectoren die door btw-fraude zijn gecorrumpeerd. Zij
moeten opereren op een gemanipuleerd speelveld waarin clandestiene en criminele
ondernemingen worden bevoordeeld
Tegen het einde van het eerste decennium van de 21ste eeuw werd cybercriminaliteit een
prioriteit op de Europese agenda en dus voor Europol. Met haar High Tech Crime Centre
ondersteunt Europol lidstaten in de algemene strijd tegen georganiseerde cybercriminaliteit. In
2009 werd het Europol Cyber Crime Platform (ECCP) opgericht. Dit platform fungeert als
meldpunt waar lidstaten internetgerelateerde vormen van criminaliteit kunnen rapporteren:
Internet Crime Reporting Online System (i-CROS). Het ECCP probeert cybercriminele groepen
te identificeren, op te sporen en te ontmantelen. Via haar forensisch expertise platform (i-
FOREX) wordt geïnformeerd over best practices en worden agenten getraind in het
rechercheren van cybercriminele activiteiten en het opsporen van daders.
Bedreiging van veiligheid van EU

“Grootschalige criminele en terroristische netwerken vormen een significante bedreiging van de interne
veiligheid van de EU en van de veiligheid en het levensonderhoud van haar burgers. De grootste
veiligheidsdreigingen komen van terrorisme, internationale drugshandel, mensenhandel, vervalsing van euro
valuta en betaalkaarten, fraude, corruptie en witwassen van zwart geld alsmede andere activiteiten die
verbonden zijn aan de aanwezigheid van georganiseerde criminele groepen in de economie. Er stapelen zich
ook nieuwe gevaren op in de vorm van cybercriminaliteit, btw-fraude en andere gewiekste misdaden die
moderne technologie misbruiken en de vrijheden die door de internet Europese markt wordt geboden” [Europol
Review, 2009].
Alle typen van georganiseerde criminaliteit gebruikt het internet als communicatiemedium, informatiebron,
marktplaats, rekruteringsveld en financiële dienst. Het demografisch profiel van de moderne cybercrimineel is:
jong, zeer vaardige individuen die vaak van universiteiten worden gerekruteerd [Europol, OCTA 2011]. Zowel
in de virtuele als in de lokale wereld worden de meeste criminele activiteiten geïnitieerd door individuen of
kleine groepen. Phil Williams spreekt in dit verband over «disorganized crime».
NASDAQ — Beurzen kraken

In oktober 2010 ontdekte de FBI dat hackers hadden ingebroken op de aandelenbeurs van
Nasdaq. Het was een zeer gekwalificeerde inbraak waarbij complexe en verraderlijke malware
werd geïnfecteerd in de centrale servers van het bedrijf. Alles wees erop dat dit geen
kinderwerk was, maar het werk van een inlichtingendienst van een ander land. De hackers
maakten gebruik van twee zero-day lekken waardoor zij gemakkelijk in staat waren om op
afstand de controle over een computer over te nemen. In de malware was een aanvalscode
ingebouwd die ontworpen was om schade te veroorzaken. Hoewel de malware gebruikt kon

worden om gegevens te stelen, was er dus ook een functie ingebouwd om een heel
computernetwerk volledig te ontregelen.
Nasdaq is een typische schermenbeurs: de handel verloopt

volledig computergestuurd. Bij een zo belangrijk financieel
systeem als de Nasdaq verwacht men dat de
computersystemen uiterst nauwkeurig en op het hoogste
niveau zijn beveiligd — als een cyber Fort Knox. Onderzoek
van de FBI wees echter uit dat de beveiligingspraktijken van
Nasdaq OMX Group verbazingwekkend nonchalant waren
waardoor de beurs een gemakkelijk doelwit werd voor hackers [Huffington Post, 18.11.11].
Om vertrouwelijke informatie te delen maakte de Directors Desk is een programma dat door Nasdaq
zelf verkocht wordt aan bedrijfsdirecties. Zij kocht
directie gebruik van het softwareprogramma
het programma in 2007 van een bedrijf in
Directors Desk. De basisarchitectuur van het Washington. Het programma wordt gepresenteerd
als uiterst veilig omdat het gebruik zou maken van
computersysteem van Nasdaq was bestendig
zeer sterke technologie voor dataprotectie. Het
tegen hackers. Maar sommige computers werkten programma is inmiddels ook gratis beschikbaar als
met verouderde software, met slecht IPad app.
geconfigureerde firewalls en niet geïnstalleerde beveiligingsupdates. Al langer bekende

veiligheidslekken die door hackers geëxploiteerd kunnen worden, werden niet gerepareerd
[Reuters, 18.11.11].
Voor dergelijke belangrijke financiële systemen is zo’n gebrek aan cyberhygiëne meer dan
opmerkelijk. Nasdaq spendeert jaarlijks bijna een miljard dollar aan informatiebeveiliging.
Wereldwijd werken er maar liefst 1.000 mensen aan de informatietechnologie van Nasdaq en
10 bedrijven adviseren haar over beveiligingskwesties, inclusief een belangrijke Amerikaanse
defensieaannemer. Maar zij waren samen niet in staat om te achterhalen hoelang de
kwaadaardige software al in het netwerk van Nasdaq werkzaam was voordat het werd ontdekt.
Nasdaq verklaarde dat haar handelsplatforms niet door de hackers waren gecompromitteerd en
dat zij alleen het programma Directors Desk waren binnengekomen. Maar door dit programma
te infecteren kregen de hackers toegang tot vertrouwelijke documenten en tot de
communicatie tussen directieleden. Zij kregen ook toegang tot gegevens van beursgenoteerde
bedrijven [Reuters, 20.10.11].
Het is een voorbeeld van een getrapte aanval (blended attack) waarbij hackers een doelwit
infiltreren om toegang tot andere computersystemen te vergemakkelijken. Het is vergelijkbaar
met de aanval op de RSA beveiligingsafdeling waarbij digitale beveiligingssleutels werden
gestolen die later werden gebruikt om in te breken op de netwerken van militaire eenheden,

inlichtingendiensten en wapenproducenten (zoals Lockheed Martin).
Het feit dat ook de NSA werd ingeschakeld om de cyberaanval op Nasdaq te onderzoeken, wijst
erop dat de aanval ernstiger was dan Nasdaq wilde toegeven. Het vermoeden was dat er een
nationale staat bij betrokken was of een buitengewoon capabele criminele organisatie. Nader
onderzoek liet zien dat er zelfs sporen waren van meerdere uiteenlopende groepen die al jaren
lang clandestien in de netwerken van Nasdaq opereerden [Bloomberg, 30.3.11; Wired,
30.3.11].
In januari 2011 concludeerde de NSA dat de ingebouwde digitale bom in staat was om de hele
beurs weg te vagen en dat deze bom geplaatst zou zijn door Russische elitehackers. Maar in
tegenstelling tot een bom of een raket kan kwaadaardige software worden hergebruikt. Daarna
vond de NSA bewijzen dat de Russische malware gebruikt werd door een hooggekwalificeerde
Chinese cyberspion die daarmee zijn identiteit probeerde te verbergen. Toen uiteindelijk ook de
CIA zich in het onderzoek mengde werd de theorie van de inbraak nogmaals gewijzigd: het zou
een zeer uitgebreide vorm van cybermisdaad zijn die vooral gericht was op het stelen van
Nasdaq’s meest kritische technologie [Bloomberg, 17.7.14].
De financiële dienstensector verliezen jaarlijks honderden miljoenen dollars aan hackers

[Reuters, 20.10.11]. De cyberaanvallen op financiële instellingen worden steeds geraffineerder
en destructiever. In Amerika spannen FBI en NSA (National Security Agency) zich in om de
financiële netwerken tegen verdere cyberaanvallen te beschermen. Maar het is nog steeds een
ongelijke strijd. Ondanks alle defensieve inspanningen vertonen de financiële netwerken nog
steeds enorme kwetsbaarheden voor een groeiend aantal steeds destructiever cyberaanvallen.
Digital Tornado, een blokkade-actie

Op 14.2.2012 werden de websites van technologiebeurs Nasdaq, BATS Stock Exchange en de Miami Stock
Exchange aangevallen waardoor zij lange tijd niet toegankelijk waren. De toegang tot de sites werd
geblokkeerd door een DDoS-aanval, de aandelenhandel zelf werd niet verstoord [Huffington Post, 14.2.12].
De DDoS-aanval op de aandelenbeurzen werd opgeëist door hacktivisten (of een hacktivist) die zich de
L0NGwave99 Group noemen [The Guardian, 14.2.12]. In een warrige verklaring werd gezegd dat hun operatie
Digital Tornado gericht was tegen het gevaarlijke “kapitalisme van de liberale democratie”. De hackers wilden
met hun actie de Occupy-beweging ondersteunen.
Flitshandel en beursmanipulatie
Aan de wieg van de huidige kredietcrisis stond de handel in onbegrijpelijke kredietproducten.
Hoewel we nog druk bezig zijn om de gevolgen van die crisis te boven te komen, lijkt de
volgende crisis al in de maak: een systeemcrisis die veroorzaakt wordt door de
geautomatiseerde flitshandel.

De flitshandel op de beurs is een bedreiging voor de «High frequency traders» zijn handelshuizen
die met behulp van computeralgoritmen
stabiliteit van de financiële markten en is voor
geautomatiseerd en razendsnel in effecten en
toezichthouders nauwelijks meer te volgen. De high derivaten handelen. In Europa maken zij al
50% van de beurshandel uit.
frequency trade (HFT) zou wel eens een nieuwe
financiële crisis kunnen veroorzaken. We hebben daarvan al een paar voortekenen gezien.
De bekendste door flitshandel veroorzaakte «flashcrash» vond plaats op 6 mei 2010. De

beurs van New York ging tijdelijk onderuit door op hol geslagen, geautomatiseerde
verkooporders. De flitskrach werd in gang gezet door een grote order van het
beleggingsfonds Waddell & Reed. Via een agency algoritme werden binnen 20 minuten
75.000 contracten ter waarde van 4,1 miljard dollar in de markt gezet. Daarop sloeg de
markt op hol.
“De computers van de high frequency traders deden wat ze altijd doen: prijzen in de markt leggen,
razendsnel opkopen en direct weer doorverkopen. Maar omdat alle algoritmes hetzelfde begonnen te
doen, waren er op gegeven moment geen kopers meer in de markt en ging de beurs fors onderuit”
[Menkveld 2012].
De Amerikaanse toezichthouder SEC had een half jaar nodig om uit te zoeken wat er in een
half uurtje beurshandel was gebeurd. De order van Waddell & Reed had een kettingreactie
veroorzaakt waarbij computergestuurde programma’s direct op de transacties reageerden.
Het voorspelbare gevolg waren enorme koersdalingen.
Om de beurs uit de spiraal naar beneden te trekken was een noodstop van 30 seconden
nodig. Die tijd was nodig om alle algoritmes uit te zetten en met nieuwe informatie opnieuw
op te starten. Of het hier een bewuste opdracht betrof of een fout in het systeem bleef
onduidelijk. Maar op 6 mei ‘verdampte’ er binnen een paar minuten 862 miljard dollar op de
beurs van New York omdat de computerprogramma’s op hol sloegen.
Op 3 oktober 2012 schrapte het bestuur van Vette vinger kan paniek veroorzaken
Van een vette vinger fout is sprake als een
Nasdaq een reeks verdachte flitstransacties die het
handelaar per ongeluk een order plaatst om
aandeel Kraft Foods binnen 1 minuut 29 procent in een miljoen aandelen te verkopen in plaats
van honderd. Zo’n menselijke fout wordt ook
waarde deden stijgen. De handelaren vermoedde
wel een ‘drukfout’ genoemd [Volkskrant,
dat er dit keer sprake zou kunnen zijn van een 20.10.12].
‘vette vinger’ waarbij een kooporder verkeerd is
ingevoerd [Telegraaf, 4.10.12]. Op 1 augustus gebeurde iets soortgelijks met de handel in
aandelen van het effectenhuis Knight Capital. De handel werd gestopt nadat de
investeringsgroep waarschijnlijk door een softwarefout voor 440 miljoen dollar het schip in
was gegaan. Ook software die maandenlang rigoureus was getest bleek toch weer fouten te
bevatten die tot een minicrash zouden leiden [BloombergBusinessweek, 3.8.12.

Op 5 oktober 2012 crashte de India National Stock

Exchange (NSE) na foutief ingevoerde
beleggingsopdrachten. De Nifty-index verloor tijdelijk een
zesde van zijn waarde. Door een menselijke fout waren er
per ongeluk 59 orders geplaatst met een waarde van 125
miljoen dollar [NSE, 5.10.12]. De gecomputeriseerde
handelsprogramma’s reageerden onmiddellijk op de
neerwaartse druk en voerden automatisch de bijpassende transacties uit, voordat iemand
zich realiseerde wat er was gebeurd. Pas nadat de beurshandel 15 minuten automatisch
werd stilgelegd, besefte men wat er gebeurd was. De flitscrach vaagde in korte tijd 58
miljoen dollar aan beurswaarde weg van de 50 toonaangevende Indiase bedrijven
[BloombergBussinessweek, 6.10.12; FD, 5.10.2012].
Door de sterke stijging van het aantal beurstransacties is het verschil tussen aan- en
verkoopprijs van aandelen en derivaten aanzienlijk kleiner geworden. Flitshandelaren echter
zijn niet geïnteresseerd in de waarde van aandelen of derivaten. Zij kopen en verkopen ze
immers niet om er een aandelenpositie mee op te bouwen zoals de institutionele beleggers
doen. De «belegging» in kredietproducten duurt slechts een paar seconden (en vaak zelfs veel
korter). Er wordt alleen maar gehandeld in het minieme verschil tussen de aan- en
verkoopprijs. Door dit extreem snel en vaak te doen kunnen gigantische winsten worden
gemaakt.
Ieder zijn eigen algoritme

Op de beursvloer zien we geen schreeuwende handelaren meer staan die elkaar smoezelige briefjes
toestoppen met de hoeveelheid aandelen die zij willen kopen of verkopen. Dat werk is grotendeels
overgenomen door computers. De helft van de effectenorders in Europa wordt tegenwoordig door computers
uitgevoerd — in de VS is dat al 70%. Flitshandel wordt aangestuurd door supercomputers die bliksemsnel op
marktorders reageren nog vóór die orders op andere beeldschermen zichtbaar zijn.
De kunst is om daarvoor programma’s te schrijven die de concurrentie te slim en vooral te snel af is. Dat zijn
programma’s die in fracties van milliseconden allerlei handelsstrategieën op de beurs kunnen doorrekenen. Met
behulp van zeer geavanceerde wiskundige formules (algoritmes) maken deze softwarerobots op grond van alle
actuele beursinformatie supersnelle beslissingen om aandelen en derivaten te kopen of te verkopen.
Om optimaal gebruik te kunnen maken van minimale verschillen tussen bieden laatkoers worden die
computers zo dicht mogelijk bij de beurscomputers geplaatst die de transacties verwerken. Hoe langer de
glasvezelkabel hoe meer nanoseconden de signalen onderweg zijn. Daarom worden de supercomputers van de
flitshandelaren fysiek zo dicht mogelijk bij de beurscomputers geplaatst. ‘Tijd is geld’, In dit geval zijn zelfs
fracties van milliseconden— heel veel geld waard.
Beursalgoritmes zijn in wiskundige formules vastgelegde handelspatronen. De algoritmes die op de computers

van flitshandelaren draaien zijn wiskundig zeer complex. Ze zijn niet in real time zichtbaar en zijn moeilijk te
ontrafelen.
“Iedereen op de financiële markt maakt gebruik van computers, maar de wijze waarop de algoritmes
worden ingezet verschilt per partij. Institutionele beleggers gebruiken «agency» algoritmes. Ze moeten

bepaalde posities innemen en willen dat zo efficiënt en slim mogelijk doen. Dus niet in een keer één grote
partij op één beurs aanbieden, maar spreiden in tijd en over meerdere platforms, zodat de beste prijs kan
worden bedongen. Het zijn feitelijk geautomatiseerde handelsstrategie�n. Daarnaast heb je de flitshandel
die gebruik maakt van «proprietary» algoritmes. Dan praat je eigenlijk over geautomatiseerde
hoekmannen: computers die een prijs in de markt leggen, maar dan met een ongelooflijk hoge snelheid en
frequentie. De flitshandel heeft geen natuurlijke interesse in de markt, maar gebruikt de algoritmes om
razendsnel in te spelen op extreem kleine prijsverschillen in de markt en zo geld te verdienen” [Menkveld
2012].
Het risico van flitshandel is dat alle algoritmes op een bepaald moment hetzelfde gaan doen. De algoritmes
reageren dan alleen nog maar op elkaar in plaats van op nieuwe relevante informatie over een aardbeving in
China, een dreigend failliet van de Griekse overheid of een oorlog met Iran. Bij snel vallende koersen heeft de
flitshandel een versterkend effect (het sneeuwbaleffect). Hierdoor kan een flitscrach ontstaan die razendsnel
op een regelrechte systeemcrisis kan uitlopen.
Flitshandelaren kunnen de handel op beurzen manipuleren. Door op het ene moemnt heel
veel verkooporders te geven en die een microseconde later weer in te trekken kunnen de
aandelenprijzen worden gemanipuleerd. Omdat zo snel gaat is de particuliere belegger per
definitie de klos — zij zijn altijd te laat. Institutionele beleggers zoals pensioenfondsen zijn
geen partij voor de snelle algoritmen waarmee flitshandelaren de koersbewegingen naar hun
hand zetten.
De onderlinge concurrentie tussen flitshandelaren verschuift steeds meer naar een

technologische race wie er op de beurs het snelste kan reageren. Steeds meer inkomsten
worden gegenereerd door het verkopen van transactiegegevens aan de algoritmehandelaren.
Vormen van beursmanipulatie

De meest elementaire vorm van beursmanipulatie is uitlokking. Een belegger ziet dat er een vraag naar
miljoenen goedkope aandelen van een bepaald fonds is en besluit ook te kopen. Als hij dat gedaan heeft
worden de grote aankooporders plotseling ingetrokken en de koers zakt weer terug. De particuliere belegger
heeft hierdoor te veel betaald.
Bij de duurdere aandelen gebeurt precies het tegenovergestelde. Orders van particulieren worden eerst
overtroefd door kleine aankooporders die milliseconden vóór de particuliere order worden geplaatst. Omdat
zijn order niet wordt uitgevoerd besluit de particuliere belegger dat hij wel iets meer wil betalen. Hij verhoogt
zijn aankooplimiet en krijgt nu ineens wel zijn aandelen. Door deze manipulatie van de koersvorming wordt de
particuliere belegger uitgelokt om zijn verkoopprijs te verhogen en betaald uiteindelijk een te hoge prijs voor
zijn aandeel.
Flitshandelaren kunnen financiële markten manipuleren zonder dat de toezichthouder dit ziet. Marktmisbruik
kent vele varianten en de beursbengels dit als een opwindend spelletje. Vlak voor het sluiten van de beurs een
order inleggen om een reactie bij een ander algoritme op te roepen om dan binnen een fractie van een
seconde de order weer in te trekken: kassa!
Beperking van risico�s door snelheidslimieten?

Nationale overheden en supranationale organen maken zich —terecht— zorgen over de
ongecontroleerde macht van het moderne flitskapitaal. Zij beschouwen de flitshandel op de
beurzen als een potentiële bedreiging voor de stabiliteit van de financiële markten. De vraag is

óf en zo ja hoé dit risico gecontroleerd kan worden.
Een verbod op het gebruik van computertechnologie is onzinnig en onuitvoerbaar. Het zou alle
voordelen van de automatisering (efficiëntere markten en lagere transactiekosten) teniet doen.
Hetzelfde geldt voor voorstellen om de frequentie waarmee prijzen worden vastgesteld te
verlagen. Een algemeen speculatieverbod botst frontaal op de kapitalistische logica die de
leidraad is voor het politiek handelen van regeringsleiders. En politici die nog wel in staat zijn
om een onderscheid te maken tussen de kapitalistische en speculantenlogica zijn dun gezaaid.
Een verbod op het gebruik van computertechnologie is onzinnig en onuit�voer�baar. Het zou
alle voordelen van de automatisering (efficiëntere mark�ten en lagere transactiekosten) teniet
doen. Hetzelfde geldt voor voorstellen om de fre�quen�tie waarmee prijzen worden
vastgesteld te verlagen. Een algemeen specu�latie�verbod botst op de kapitalistische logica
die de leidraad is voor het politiek handelen van regeringsleiders.
De populairste remedie is het beperken van de snelheid van de aandelenhandel door het
instellen van een snelheidslimiet. Op 24 september 2012 presenteerde de Europese Commissie
een aantal maatregelen om de flitshandel op de beurs aan banden te leggen. De belangrijkste
maatregel is het beperken van de beurssnelheid tot een halve seconde (500 milliseconde). Ten
opzichte van de huidige snelheid (0,05 milliseconde per transactie) zou dit een enorme
vertraging betekenen. De transacties op de beurzen zouden door dit voorstel duizend keer
trager verlopen dan nu het geval is.
Het gevolg van dit voorstel zou zijn dat orders minstens een halve seconde in het ‘orderboek’
van de beurs moeten blijven staan voordat ze kunnen worden geannuleerd of gemodificeerd.
Voor flitshandelaren als Optiver, IMC en Flow Traders is dit een eeuwigheid. Zij beschouwen dit
als een ongehoorde interventie in hun manier van zaken doen. Als zij verplicht zouden worden
om hun orders voor 500 milliseconden in te leggen zonder dat zij deze tussentijds mogen
veranderen, dan lopen zij enorme risico’s. “Je legt in die tijd als het ware je portemonnee op
tafel. Dat willen we niet”, aldus een woordvoerder van de lobbyorganisatie FIA [Volkskrant,
17.10.12].
Beursbengels en hun lobbyisten

Nederland heeft een aantal flitskapitalisten die in de wereldtop
meedraaien. Rijk geworden van hun flitshandel leveren zij steeds
meer leden van de Quote-500 club. Optiver is een van de
hofleveranciers van deze club: Jan Dobber. Johann Kaemingk, Chris
Oomen, Ruud Vlek en Leo van den Berg [Quote, 23.4.12; Quoate,
15.11.10].
De flitshandelaren hebben hun eigen Europese lobbyclub opgericht.

De European Principal Traders Association (EPTA) —dochter van de

Amerikaanse lobbyvereniging FIA— verweert zich tegen het verwijt

dat hun manier van handelen zorgt voor flitscrashes en andere
systeemrisico’s. Beursbengels houden niet van regelgeving. Het
beperkt hun gokverslaving en roomt hun speculatie-winsten af
[Quote, 19.8.11]. Zij voelen zich diep beledigd en verwerpen alle
kritiek als ongefundeerde roddelpraat (aldus EPTA-baas Remco
Lenteman, voorheen werkzaam bij Goldman Sach).
Geld stinkt niet (Pecunia non

olet), vinden de flitskapitalisten,
en hebzucht is goed. Hoe
aantrekkelijk het is om
flitshandelaar te zijn, maakte
Optiver duidelijk in een video waarmee men nieuw personeel Michael Douglas als Gordon Gekko in de
probeert te rekruteren. Op het YouTube-kanaal van Optiver is die film Wall Street (1987): “Greed is Good.”
video inmiddels verdwenen, maar het plaatje maakt duidelijk wat de boodschap was.
Flitshandelaren stellen alles in het werk om de snelheid van hun beursoperaties nog verder op
te voeren. Zij investeren zwaar in de aanleg van nieuwe, nog snellere onderzeese
glasvezelkabels die de beurzen van Tokyo, Londen en New York met elkaar verbinden. Hierdoor
zal in 2014 de overdracht van een opdracht tussen de beurs van Tokyo en Londen 62
milliseconde korter duren dan de 230 milliseconden die daar nu nog voor nodig zijn. Medio
2011 kondige het in Londen gevestigde bedrijf Fixnetix aan dat zij de allersnelste
handelsapplicatie had gemaakt: een microchip die een transactie in 740 miljardste seconde kan
uitvoeren. Je kunt niet meer zeggen dat transacties zich in een oogwenk voltrekken: een
oogwenk heeft honderden miljoenen nanoseconden nodig. Voor sommige flitshandelaren zijn
zelfs nanoseconden nog te traag. Zij spreken al over picoseconden — een triljoenste van een
seconde [Wall Street Journal, 14.6.11; Gay/Yao/Ye 2012].
De toezichthouders op de beurzen hebben steeds minder zicht en dus grip op de

geautomatiseerde markten van aandelen en derivaten. Ze lopen achter op het gebied van
automatisering en moeten steeds meer it-ers aantrekken om een bij te blijven. Ze hebben
goede automatische detectie- en analysesystemen nodig die uit alle data opvallende of
verdachte orders en koersbewegingen te destilleren [Cooper/Van Vliet 2012]. Toezichthouders
moeten niet alleen meer inzicht krijgen in de nieuwe ecologie van de gecomputeriseerde
markten, maar ook hun internationale samenwerking te versterken. Het komt niet zelden voor
dat flitshandelaren op de ene markt een crash veroorzaken om daarop in een andere markt te
speculeren.
De AFM (Autoriteit Financiële Markten) is de waakhond van de Nederlandse financiële markten.

Zij moet toezicht houden op het gedrag van alle partijen die op de financiële markten
opereren: financiële dienstverleners, beurzen, bemiddelaars en accountants. De AFM moet erop
toezien dat deze partijen correct handelen en hun partners van de juiste informatie voorzien.

De vraag is echter of de AFM voldoende is uitgerust om de patronen van de flitshandel te

herkennen en bij verdachte koersbewegingen snel genoeg kan ingrijpen.
De AFM houdt toezicht op alle orderdata van de AEX (Amsterdam Exchange Index). De AEX
geeft het beeld van de koersontwikkeling van de 25 aandelen met de grootste
marktkapitalisatie op de Amsterdamse effectenbeurs. Technisch gezien is de AFM wel in staat
om alle microbewegingen op deze beurs te reconstrueren. Maar zij heeft geen continu beeld
van de flitsorders die over de gedigitaliseerde beursvloer vliegen. Als er verdachte
koersbewegingen worden geconstateerd, is zij ook niet in staat om de identiteit te achterhalen
van de handelaren die de flitsorders hebben geplaatst. De AFM beschikt niet over dezelfde
algoritmische technologie als degenen waarop zij toezicht moeten houden. Maar ook de AFM
heeft geen behoefte aan het Europese voorstel een tijdslimiet in te voeren om de risico’s die
aan de flitshandel verbonden zijn te beteugelen. Sommige critici zeggen dat de AFM een
waakhond van de beurs moet blijven en geen schoothondje van flitskapitalisten.
Snelheidsbeperking en noodrem: hoe effectief?

Een snelheidsbeperking voor beurstransactie heeft verschillende voor- en nadelen, Op korte termijn zou een
snelheidslimiet voor de beurshandel enig soelaas kunnen bieden voor de achterstand die toezichthouders
hebben op de zeer moeilijk te controleren machinaties van de flitshandelaren. Maar hogere snelheid betekent
een efficiëntere markt en lage transactiekosten. Het instellen van een snelheidslimiet kan ertoe leiden dat de
handel zich verplaatst naar alternatieve platforms waarop helemaal geen toezicht wordt gehouden.
De Europese Unie wil de risico’s van de flitshandel beperken door op de rem te gaan staan. Maar de ziel van
het flitskapitaal is juist gelegen in de enorme snelheid waarmee zijn robots op de internationale
effectenmarkten opereren. Fast trade en snelheidslimieten zijn onverenigbaar.
Een andere manier om de ontregelende kracht van het flitskapitaal te beperken is het inbouwen van betere
circuit breakers die de handel stilleggen als er problemen worden geconstateerd. Met zo’n noodrem kan de
schade worden beperkt, maar niet voorkomen.
Dat bleek toen op 18 oktober 2012 het aandeel van

Google op de Nasdaq in 8 minuten 9 procent van haar
waarde verloor. Door een fout van de ‘filing agent’ van
Google verscheen het kwartaalbericht vroeger dan de
bedoeling was op de website van de beursautoriteit SEC
(Securities and Exchange Commission). De agent had al
voor het sluiten van de beurs op de verzendknop
gedrukt. Het was een klassieke drukfout met grote
gevolgen. Slechts 360 seconden na deze drukfout was
Google tientallen miljarden minder waard geworden. Pas De ironie wil dat de drukfout waar Google het slachtoffer
van werd, gemaakt werd door een drukkerij die de
21 minuten later werd er aan de noodrem getrokken en financiële teksten van Google verzorgt.
werd de handel stilgelegd.
Een aantal grote flitshandelaren hadden zich al een paar minuten vóór de koersval van Google uit de markt
teruggetrokken. Hierdoor ontstond een groter verschil tussen aan- en verkoopprijs. De computeralgoritmes
reageerden daarop met een snel spervuur van ingetrokken kooporders [Bloomberg, 18.10.12]. Er werd pas
aan de noodrem getrokken nadat het flitskapitaal haar schaapjes op het droge had. De algoritmische
snelhandel trok aan het langste eind.

Voor particuliere beleggers is de effectenhandel inmiddels steeds ondoorzichtiger geworden.

Maar zelfs voor de AFM is de effectenhandel inmiddels zo ingewikkeld dat het bijna onmogelijk
is om daarop goed toezicht te houden. Dat komt niet alleen door de computergestuurde
manipulaties van beurskoersen, maar ook omdat er op steeds meer plaatsen wordt gehandeld.
Slechts de helft van de gebeurt op ‘gewone beurzen’ zoals Euronext. Inmiddels gaat 40% van
de handel naar alternatieve, volledig geautomatiseerde platforms zoals Bats, Chi-X, Turquoise
en Tom. Door hun lagere transactiekosten bieden deze platforms uitgelezen winstkansen voor
oncontroleerbare flitshandel. Zij bieden tegelijkertijd ideale omstandigheden voor criminele
beursmanipulaties.
Ontregeling van financiële markten

De georganiseerde criminaliteit is niet meer beperkt tot een aantal steden en een paar
criminele markten. Vandaag de dag zijn criminele ondernemingen niet geënt op het model van
de Siciliaanse maffia. Het zijn uiterst kapitaalkrachtige netwerken die opereren in alle
haarvaten van de geglobaliseerde samenleving. Zij penetreren in nationale en multinationale
ondernemingen, verstoren markten, corrumperen regeringen en persen daarbij enorme
rijkdommen af. Zij worden van brandstof voorzien door dezelfde globaliseringskachten die
productie en handel, communicatie en informatie wereldwijd hebben uitgebreid. “Criminele
syndicaten hebben niet alleen een ongekende invloed op het leven van gewone mensen, maar
hebben het concurrentievermogen van multinationale ondernemingen en de veiligheid van
overheden wereldwijd ondermijnd” [World Economc Forum 2011].
Criminele netwerken zijn multinationaal in bereik waardoor hun impact groter is dan ooit te
voren. Criminele organisaties zijn de meest ondernemende en lenige elementen van de globale
economie. Ze zijn bijzonder behendig is het exploiteren van zwakke instituties en fragiele
staten. Zelfs in de meest geavanceerde economieën is hun invloed zeer vergaand. In een
verklaring van het World Economic Forum werd dit pijnlijk adequaat onder woorden gebracht.
“Georganiseerde misdaad penetreert in de financiële markten van Hong Kong, de banken van Japan en de
bouwindustrie in New York aan. Georganiseerde misdaad ontmoedigt investeringen in Mexico en Afghanistan,
en verstikt de reconstructie van veel post-conflict samenlevingen zoals Sierra Leone en de Democratische
Republiek Congo. Het stimuleert corruptie, clandestiene handel en illegale migratie, ondermijnt het milieu en
de mensenrechten, en draagt bij aan de uitputting van natuurlijk bronnen. Naarmate de wereld in sterker
interdependent wordt, zullen criminele organisaties zich blijven uitbreiden en aanpassen. De opkomst van
nieuwe machten zoals China, India en Brazilië stelt het vermogen van de wereld op de proef om de
verspreiding van geraffineerde criminele syndicaten te beperken” [World Economc Forum 2011].
In 2011 waagde de UNODC (United Nations Office on Drugs and Crime) zich aan een eerste
globale schatting van transnationaal georganiseerde criminaliteit. Zij schatte de clandestiene
stromen die verbonden zijn aan misdaadsyndicaten op $ 125 miljard per jaar. Daarvan wordt

85% toegerekend aan de handel in illegale drugs.
Natuurlijk zijn dergelijke getallen niet meer dan schattingen. Maar zelfs in de meest
conservatieve schattingen zijn de criminele inkomsten gigantisch groot. Bovendien zijn dit
alleen nog maar de directe kosten. De indirecte kosten zijn aanzienlijk hoger. Dat zijn kosten in
de vorm van instabiliteit, geweld en verwondingen, menselijke gezondheid, schoonmaken van
milieu, en een gemanipuleerd speelveld dat clandestiene ondernemingen bevoordeelt.
Over miljoenen illegale transacties per dag wordt geen belasting geheven. Dat geldt voor
illegale banktransacties tot aan het smokkelen van imitatie goederen (schoenen, tassen en
medicijnen) en verhandelen van intellectueel eigendom. Overheden die zich inzetten om de
sociale voorzieningen nog een beetje overeind te houden verliezen nog eens vele miljarden
extra door belastingontduiking en het witwassen van zwart geld. Al deze niet-verkregen
belastinginkomsten hebben directe gevolgen voor de belastingbetaler.
De huidige economische crisis stimuleert de Insiders

Op 24 januari 2009 maakt de Franse bank Société
verspreiding van georganiseerde criminaliteit. Door
Général bekend dat het was getroffen door een
stijgende werkloosheid neemt het aantal mensen van de grootste fraudes in de geschiedenis van de
banken. De fraude van een van haar handelaren
dat zich van de samenleving voelt uitgesloten toe
geleid had tot een verlies van € 4,9 miljard.
en worden inspanningen om immigranten en
Effectenhandelaar Jérôme Kerviel had door
gemarginaliseerde groepen te integreren ongeoorloofde speculaties op de futuremarkt zijn
belemmerd. “Een toenemend aantal werkloze en bank met grote verliezen opgezadeld.
Aanvankelijk werkte hij op een controle-afdeling
gefrustreerde jongeren is vatbaar voor rekrutering
van de bank. Hij maakte misbruik van zijn kennis
door straatbendes, georganiseerde van de beveiligingssystemen van de bank om zijn
sporen te verbergen via een serie fictieve
misdaadsyndicaten of terroristische groepen”
transacties. Door interne controles te ontwijken
[World Economc Forum 2011]. Mensen die ondanks kon hij zijn zware verliezen lange tijd verbergen.
hun gereduceerde koopkracht hun leefstijl
proberen te handhaven, zijn eerder geneigd om gebruik te maken van clandestiene diensten of
om gesmokkelde imitatieproducten te kopen. Hierdoor neemt de vraag naar dergelijke illegale
producten en diensten verder toe.
Bovendien maakt de economische crisis bonafide opererende ondernemers meer geneigd (of
gedwongen) om compromissen te sluiten, waardoor criminele groepen nog verder in het
economisch stelsel kunnen infiltreren.
De beurzen zijn een eldorado geworden voor individuele en georganiseerde cybercriminelen,

maar ook voor cyberterroristen en nationale staten die vijandige staten proberen te
verzwakken door hun financiële stelsel met cyberoperaties te ontregelen. De netwerken van de
beurzen zijn in steeds sterkere mate afhankelijk geworden van informatietechnologie. Die

informatietechnologie wordt door externe ondernemingen ontwikkeld, ondersteund en

onderhouden. Maar het is nooit helemaal duidelijk welke achterliggende belangen deze it-
bedrijven hebben en hoe daar de eigen beveiliging is geregeld.
De beveiligingsafdelingen van beurzen en banken worden geconfronteerd met een toenemend

aantal hooggekwalificeerde en gerichte cyberaanvallen. De meeste experts zijn het erover eens
dat zij daartegen slechts weinig kunnen inbrengen. Dit betekent dat de financiële markten nog
lange tijd kwetsbaar zullen zijn voor cyberaanvallen. Sommige cyberaanvallers hebben
voldoende expertise in huis om onopvallend in beurzen te penetreren en kunnen daar voor
langere tijd ongedetecteerd hun werk doen. Daarbij kunnen met minimale inspanning en
verwaarloosbare risico’s fantastische winsten worden behaald.
Slecht voorbereid
Het adviesbureau KPMG onderzocht de frequentie van cyberaanvallen op Nederlandse bedrijven en
instellingen. Uit de enquête onder ruim 170 bestuurder bleek dat de helft van de Nederlandse bedrijven en
instellingen in 2011 het slachtoffer was van een cyberaanval. Bij ruim 60 procent beperkte de schade zich
jaarlijks tot een bedrag van 100.000 euro. Bij ruim 10 procent overstijgt de schade een bedrag van 1,5 miljoen
euro. Slechts één op de vijf acht zichzelf in staat om zo’n aanval met succes te kunnen afslaan. Daaruit is maar
een conclusie te trekken: Nederlandse bedrijven en instellingen zijn slecht voorbereid op cyberaanvallen.
De financiële sector is het meest populaire doelwit. Hier vindt 75 procent van de cyberaanvallen plaats. Om
toegang te krijgen tot computersystemen maken de cybercriminelen vooral gebruik van lokmails (phishing).
“Cybermisdaad is al lang niet meer het terrein van amateurs: de aanvallen komen ook vanuit de
georganiseerde misdaad. daarbij gaat het niet alleen om geld, maar ook om spionage en verstoring van
belangrijke processen (en daarmee van ondernemingen en/of publieke diensten)” [KPMG]
De werkelijke omvang van cybercriminaliteit is uiteraard moeilijk te achterhalen omdat de detectieprocedures

lang niet alles in kaart brengen.
Voor gekwalificeerde en goed uitgeruste criminelen zijn de beurzen en banken een interessant
werkgebied. Maar ook voor nationale staten zijn de financiële markten en instellingen een
aantrekkelijk operatieveld. Zij beschikken over voldoende middelen, gekwalificeerde mensen en
de lange adem die nodig is om beursmanipulaties op lange termijn geduldig en planmatig te
realiseren.
Bij beursmanipulaties door nationale staten is monetair gewin meestal niet het belangrijkste
doel. Door een cyberaanval op beurzen proberen zij de hele economie van een andere staat
ernstige schade toe te brengen. Als men weet op welke gevoelige strategische punten een
financieel stelsel moet aanvallen en als men op het juiste tijdstip de verkeerde signalen geeft,
dan kunnen al wankelende staten en hun economische systemen in diepe afgronden worden
gestort.
“Voor moderne maatschappijen is de manipulatie van de beurzen misschien het grootste

probleem van de nieuwe cyberveiligheidssituatie. De beurzen kunnen niet meer als

betrouwbaar worden opgevat. Zij moeten als chronisch gecompromitteerd en ondergraven

worden gezien” [Gacken 2012:143]. Dan dringt zich de vraag op in hoeverre beurzen nog wel
een geschikt instrument zijn voor de internationale handel.
Een wereld zonder geld?

Een elektronische diefstal van honderden miljoenen euro’s is natuurlijk geen sinecure. Maar het valt in het niet
als men dit vergelijkt met andere mogelijke scenario’s zoals een aanslag op de glasvezel netwerken waarop de
financiële instellingen in de wereld draaien. Wat zou er gebeuren als aanvallers erin zouden slagen om de
technische infrastructuur van het hele internationale banken beurssysteem te ontregelen of te vernietigen?
Geld is tegenwoordig een digitaal opgeslagen getal dat gekoppeld is aan een digitaal opgeslagen
rekeningnummer van een persoon of instelling. Als er geknoeid wordt met die digitale gegevens, of als zij
worden vernietigd, dan zou praktisch de gehele (monetaire) rijkdom op aarde verdampen. Niemand zou meer
in staat zijn om geld van zijn bank te halen of naar een andere rekening over te schrijven.
Specialisering en professionalisering van cybercriminaliteit
Cybercriminele organisatie
Evolutie: specialisering en professionalisering

Cybercriminelen zijn louter uit op korte-termijn winst. Ze zijn de parasieten van commerciële
systemen en netwerken. Ze proberen op illegale wijze voordeel te halen uit het cybertijdperk
zonder hun slachtoffers te doden of te kwetsen. Ze slaan toe waar het geld is, grijpen wat ze
kunnen en poetsen zo snel mogelijk de plaat.
De methodieken die cybercriminelen gebruiken zijn in snel tempo uitgebreid en verfijnd.

Ondanks alle investeringen in betere computerbeveiliging slagen cybercriminelen er telkens
weer in om in te breken in digitale circuits waarin geld een rol speelt. Zolang de kans op illegale
winst groter lijkt dan het risico om gesnapt en bestraft te worden, zullen cybercriminelen
steeds creatiever en professioneler worden. Ook cybercriminelen staan onder druk om te
innoveren. Wie het meeste geld weet te stelen, heeft ook de middelen om nieuwe inbraak- en
oplichtingstechnieken te ontwikkelen, om nieuwe kansen die zich voordoen te benutten, en om
nieuwe slachtoffers te vinden.
Naarmate cybercriminaliteit volwassen wordt adopteren slimme criminelen conventionele

benaderingen van bedrijfsvoering: van supermarktachtige prijsstelling tot uitbesteding aan
specialisten die optreden als portfolio managers, codeurs, lanceerders, witwassers en
beheerders van ge�nfecteerde zombie-computers. Een aantal jaar geleden was cybercrime
alleen weggelegd voor mensen met veel technische kennis. Tegenwoordig zijn er ook ict-leken
die zich ermee bezighouden omdat de benodigde software makkelijk verkrijgbaar is en speciale
deskundigheid door criminelen wordt ingehuurd. Beveiligingsspecialisten verbazen zich over de

snelheid waarmee cybercrime zich ontwikkeld en blijft groeien.
Cybercriminele ketens
“Cybercriminelen van vandaag hebben niet noodzakelijk aanzienlijke technische expertise nog om de klus
geklaard krijgen. In bepaalde gevallen hoeven zij zelfs niet over een computer te beschikken. Alles wat zij
nodig hebben is een creditcard. Een marktplaats waarop instrumenten en diensten voor cybercrime worden
aangeboden voorziet potenti�le criminelen van een heel arsenaal dat gebruikt kan worden als component
van een cyberaanval of als een handige manier om het hele proces uit te besteden. Deze ondergrondse
marktplaats faciliteert een leger van cybercriminelen — en de kosten daarvan worden gedragen door alle
burgers. (...) Het gemak waarmee dergelijke instrumenten beschikbaar zijn stelt cybercriminelen in staat om
in een snel groeiend tempo niet alleen burgers te bestelen, maar ook bedrijven en overheden” [Troels
Oerting - Hoofd van EC3 European Cybercrime Centre].
Cybercriminaliteit heeft zich inmiddels ontwikkeld tot een geheel nieuwe bedrijfstak. Er zijn
cybercriminele ketens ontstaan van gespecialiseerde bedrijven die samenwerken om grotere
en meer lucratieve doelwitten aan te vallen. Op de zwarte markten verhandelen
cybercriminelen onderling een heel arsenaal aan informationele producten en diensten
waarmee winstgevende doelwitten bestolen kunnen worden. Er worden informationele
producten verhandeld zoals creditcardnummers, gecompromitteerde bankrekeningen,
adressen, telefoonnummers, sociale zekerheidsnummers enz. Er wordt kwaadaardige software
aangeboden en botnets verhuurd om de meest uiteenlopende malware en spam te verspreiden.
Er worden kogelvrije serverruimtes voor hosting van criminele sites verhuurd en hackers en
wachtwoordkrakers bieden zich aan om tegen betaling het vuile werk opknappen [Interpol
2011; MacAffe, Cybercrime Exposed].
Het cybercriminele bedrijfsmodel is als volgt opgebouwd.
Handel in exploitatiecodes
Een exploitatiecode (‘exploits’) is een scriptcode waarmee de kwetsbaarheden in een
programma kan worden misbruikt. Op internet zijn er speciale marktplaatsen waar
cybercriminelen exploitatiecodes verkopen en kopen. Daar worden voor zeer hoge bedragen
methoden en technieken verhandeld waarmee misbruik gemaakt kan worden van
kwetsbaarheden (bugs) in hard- en software. Daarbij gaat het vooral om zwaktes die nog
niet publiek bekend zijn, de zgn. Zero Day Exploits (ZDE).
Een voorbeeld van zo’n marktplaats is WabiSabiLabi. Op het ondergrondse internet

(darknet) dat niet geïndexeerd wordt door zoekmachines en waarvan het gebruik
geanonimiseerd wordt, worden exploits te koop aangeboden.
Premium Tools voor cyberdieven

Op de zwarte internetmarkt schaffen cyberbendes exploit kits aan die gebruik maken van verse lekken die
nog niet of nauwelijks zijn gerepareerd. Een voorbeeld daarvan is de Cool Exploit Kit die in 2012 in omloop
werd gebracht voor $10.000. De makers van het programma zoeken permanent naar nieuwe

kwetsbaarheden en naar verbeteringen van oudere exploits waardoor deze weer bruikbaar zijn. Zij
verzamelen in het bijzonder lekken in browser plug-ins [Webwereld 8.1.13].
De Blackhole Exploit Kit (BEK) was een succesvolle malware toepassing die werd gelanceerd op een
ondergrond Russisch hackersforum. BEK was te huur en kon computers met alles besmetten wat maar
kwaadaardig is: van valste antivirus en ransomware tot Zeus en de beruchte TDSS en ZeroAccess rootkit,
die zowel Windows, OS X en Linux aanvallen. De innovatieve makers van BEK bieden gratis updates. TDSS
is een ‘onverwoestbare’ rootkit die zich diep in het besturingssysteem nestelt en ook de malware van
concurrenten weet uit te schakelen.
Exploit kits zijn de meest gebruikte methodes voor infectie van computers. De meest populaire bouwdozen
zijn Pony, (Sweet) Orange, Magnitude en Nutrino. De producten van Java en Adobe zijn nog steeds de
primaire doelwitten die ge�xploiteerd worden — 90% van de exploits werken via kwetsbaarheden in Java.
Distributiediensten voor malware

Cybercriminelen bieden diensten aan waarmee malware over het internet kunnen worden
verspreid. Zij laten zich betalen om via hun netwerken van gecompromitteerde websites
snel grote aantallen computers te infecteren. De malware distributeur verkoopt in feite
webverkeer [DarkReading, 28.5.10; Symantec, 27.10.11; Trendmicro, 2011; Rand 2014].
Een botnet kan eenvoudig worden geconstrueerd door het kopen van een software
ontwikkelingsprogramma dat op het internet beschikbaar is voor $1.500 tot $3.000.
Daarmee kan vervolgens spam worden verstuurd, DDoS-aanvallen worden gelanceerd,
clickfraude worden gepleegd, creditcard gegevens worden gestolen of gijzelingspremies
worden geïncasseerd.
Steeds meer worden deze botnetdiensten echter ingehuurd bij gespecialiseerde criminelen
die tegen vaste tarieven cyberaanvallen lanceren. De economie van de botnets ziet er
ongeveer als volgt uit.
Aspect Kosten per 10.000 cliënten
Cliënt acquisitie $400 tot $1.000
DDoS-aanval (per uur) $100 tot $200
DDos-afpersing $10.000 per cliënt
Spam emails $0,50 tot $1,50
Klikfraude $1,500
Adware $3.000 tot $15.000
Bron: The DDoS Threat Spectrum, 2012
Sinds begin 2013 dalen de prijzen voor botnets aanzienlijk als gevolg van het grote aanbod.
De startprijs voor een Amerikaans botnet is gedaald van 200 naar 120 dollar. Dit een teken
dat de markt volwassen is geworden en niet meer is voorbehouden aan experts [Webroot].
De verschillende prijzen die voor bepaalde landen worden betaals is afhankelijk van de
waarschijnlijkheid dat kwaadaardige softer door doelwitten in dat land gedownload en

geopend wordt. Dit bepaald immer de kans dat cybercriminelen toegang krijgen tot
hoogwaardige vertrouwelijke informatie (zoals creditcard nummers en wachtwoorden) en tot
sites en netwerken van ondernemingen.
1.000 5.000 10.000
World MIX 25 $ 110 $ 200 $
EU MIX 50 $ 225 $ 400 $
DE, CA, GB 80 $ 350 $ 600 $
USA 120 $ 550 $ 1.000 $
Bron: Dancho Danchef, Webroot, 28.2.13.
Vergelijk ook de cijfers van de Russische
zwarte cybermarkt van Trend Mico [2012:6].
Verhuurders van botnetdiensten voor malafide activiteiten hebben financiële motieven om

hun botnets zo groot mogelijk voor te stellen. Om de omvang van hun botnet te
demonstreren kunnen zij soms een paar minuten worden geprobeerd: ‘try-before-you-buy’.
Roterende proxies
Criminelen gebruiken botnets ook om hun identiteit op internet af te schermen. Er zijn speciale online
diensten die cybercriminelen hiervoor kunnen inhuren. De dienst bestaat uit een webinterface waarmee
criminelen zelf een manier kunnen kiezen om hun identiteit te verbergen. Daarbij wordt gebruikt gemaakt
van besmette computers als proxies. Wanneer meerdere besmette computers aan elkaar worden
gekoppeld, wordt het voor opsporingsdiensten nog lastiger om de dader van een cybermisdrijf op te
sporen. Criminelen kunnen met behulp van de software op eenvoudige wijze de gebruikte proxies laten
wisselen en roteren.
Voor het gebruik van 150 proxies per maand betalen cybercriminelen $25. Voor 1.500 proxies wordt per
maand iets meer dan $95 betaald.
Ook de kosten van het anonimiseren van de internetactiviteiten van cybercriminelen worden steeds lager
[Dancho Danchev, 20.3.13; Security.nl, 23.3.13]. Een voorbeeld van zo’n proxy verhuurder is het sinds
2004 onder verschillende namen opererende Foxy Proxy. Zie ook de lijst van The Proxy Bay.
Verkopers van persoonsgegevens

Er is een levendige handel in gestolen identiteiten. Deze diensten (zoals 76Team.com)
bieden cybercriminelen een platform om een portfolio van gestolen databestanden te kopen,
te verkopen en te beheren.
Omdat er steeds meer servers en databases met gevoelige gegevens worden gehackt, dalen
de prijzen voor gestolen inloggegevens of persoonsgegevens. In 2011 wat een
bankrekening net zevenduizend dollar te koop voor $300. Twee jaar later krijgt men voor
dat bedrag al de inloggegevens van een bankrekening waar driehonderduizend dollar op
staat. Een compleet dossier met persoonlijke gegevens koste in 2011 nog $60, nu slechts
$25 [Secureworks, 18.11.13; BBC 17.12.13].

Maffiabaas achter de tralies

Politiediensten concentreren hun inspanningen op de sterkste knooppunten van de cybercrininele keten en
op het ontmantelen van de marktplaatsen waarop zij hun expertise verkopen.
In 2001 kwam een groep van 150 Russisch-sprekende crackers bijeen in een restaurant in Odesse of
CarderPlanet op te richten. Het groeide uit tot een van de meest beruchte websites voor fraude met
creditcard gegevens.
Roman Vega (aka BOA) was de administrateur van CarderPlanet die opgezet was langs de lijnen van La
Cosa Nostra, met een Godfather (Dimitry Golubov) en daaronder een aantal Don, waaronder Vega [bron].
Onder Vega’s leiding werd CarderPlanet een van de drukste zwarte cybermarkten voor de verkoop van
gestolen financi�le informatie, hacking en witwaspraktijken. Vega werd in februari 2003 gearresteerd toen
hij de relatief veilige haven van zijn geboorteland Oekra�ne verliet om naar Cyprus te reizen. Op zijn
laptop werden een half miljoen data van creditcards van 7.000 verschillende financi�le instellingen
aangetroffen. In 2013 werd Vega in de VS veroordeelt tot 18 jaar gevangenisstraf.
Voor de verkoop van creditcard informatie ontwierp Vega een kwaliteitscontrole systeem dat ervoor moest
zorgen dat de fraudeurs niet bestolen werden door hun medefraudeurs. Verkopers moeten aantonen dat
hun creditcards origineel waren en niet eerder waren verkocht [ArsTechnica, 12.12.13; Gary Warner,
27.1.2014].
CarderPlanet werd een van de drukst bezochte online zwartemarkten met meer dan 6.000 leden. De site
fungeerde als internationaal platform van en voor creditcard dieven.
Malware in licentie
Op de zwarte cybermarkt zijn de meest uiteenlopende malware-varianten te koop en te
huur. Malwarecode waarmee delicten kunnen worden gepleegd kunnen door iedereen die de
weg weet te vinden worden aangeschaft. Virussen, Trojaanse paarden, Exploitkits, Rootkits
en Ransomware, alles is te koop of te huren.
Schrijvers van malware hanteren licentiemodellen waardoor cybercriminelen hen direct

betalen voor het gebruik van hun kwaadaardige software. Cybercriminelen kunnen
hoogwaardige malware aanschaffen en hoeven deze niet meer zelf te ontwikkelen. De
malwareschrijvers beschikken hierdoor over steeds grotere fondsen waarmee zij innovaties
in de ontwikkeling van malware financieren.
Een voorbeeld van deze commerciële malware is Storm Worm. Commerciële malware
producenten leveren online ondersteuning om hun cybercriminele klanten te helpen de
instrumenten beter te gebruiken. Voor malware producenten zijn de risico’s gering. Hun
producten kunnen immers ook voor goede, legale doeleinden worden gebruikt. Zij worden
altijd geleverd met de disclaimer dat de software «alleen voor onderzoek» gebruikt mag
worden.
Wil jij ook eens spioneren?

Op Russische ondergrondse webfora worden de meest uiteenlopende cybercriminele diensten aangeboden:
spam, virussen, Trojaanse paarten, botnets, DDos-aanvallen etc. Alles is te koop voor steeds lager
wordende bedragen.

“Zou je graag zelf een beetje willen spioneren? Wil je er zeker van zijn dat je partner je niet bedriegt?
Schrijft je vriendin voortdurend sms’jes aan iemand en zegt ze dat die gericht zijn aan haar vriendin? Dan
is dit de juiste dienst voor u!”. Die dienst bestaat uit een Trojaans paard dat het mogelijk maakt om alle
inkomende en uitgaande sms-berichten te lezen. Kosten: 350 dollar.
De mobiele SMS-spion is kinderlijk eenvoudig aan het werk te zetten. Je stuurt met Skype een SMS naar
de telefoon van het slachtoffer. Dan komt er een MMS (de multimedial opvolger van SMS) aan. Wanneer de
MMS wordt geopend installeert het programma zich automatisch op de telefoon. Vanaf dat moment wordt
al het inkomende en uitgaande sms-verkeer van de telefoon van het slachtoffer verstuurd tegelijkertijd
naar jouw telefoon verstuurd. Het slachtoffer merkt er niets van [Trend Micro 2012:14].
Cybercriminele sociale netwerken

Ook cybercriminelen maken gebruik van sociale netwerken. In de netwerksites verwerven
cybercriminelen de reputatie die nodig is om illegale goederen en diensten te verkopen en
te kopen, of om partners te vinden om grotere operaties te realiseren.
Veel mensen denken dat hackers eenlingen zijn en anti-sociaal. Het tegendeel is waar: hackers leven in
een collegiale subcultuur waar individuen informatie met elkaar delen. Zij gebruiken webfora, IRC
kanalen, blogs en andere online media waarin hackers met elkaar communiceren en bronnen delen die
het hacken faciliteten. De meeste hackers werken binnen losse netwerken met een beperkt aantal
mensen.
Deze keten van gespecialiseerde en geprofessionaliseerde diensten biedt voor cybercriminelen

veel voordelen. De elementen van deze keten worden steeds verder verfijnd en beter op elkaar
afgestemd. De cybercriminele keten wordt gedifferentieerd in een aantal subketens waardoor
ook de pakkans wordt gespreid. Een schrijver van malware hoeft geen data meer te stelen of
zelf fraude te plegen om een deel van de buit binnen te halen. Hij verkoopt zijn malware met
winst zonder dat hij hoeft deel te nemen aan activiteiten met een hoog risico. Er is geen strikte
hierarchie — de online forums bieden een platform voor het uitwisselen van diensten voor de
digitale onderwatereconomie. Voor politie en justitie wordt het moeilijker om zicht en greep te
krijgen op alle actoren die bij cybercriminele operaties betrokken zijn.
Automatisering
De huidige generatie cybercriminelen heeft haar operaties in vergaande mate geautomatiseerd
om in minder tijd meer productief te zijn. Zij maken gebruik van malware en scripttechnieken
om de verschillende fases van hun scenario’s uit te voeren. Bij grotere operaties wordt gebruik
gemaakt van veelzijdige softwarepakketten (exploit kits) die verschillende functies verrichten
welke door de gebruiker kunnen worden gemodificeerd, gespecificeerd en gerecombineerd.
Bijvoorbeeld:
het maken van een botnet;
het stelen van gegevens, certificaten en logo’s van online diensten;
het stelen van de beelden van checks van die diensten;
het printen van imitatiechecks;
het rondneuzen op banensites om e-mail adressen te vinden van baanzoekers;
het spammen van die adressen om geldezels (money mules, katvangers) te rekruteren om vervalste checks

te inkasseren;
het rekruteren van de geldezels om de checks te inkasseren en de fondsen naar de rekeningen van de
cybercriminelen te sturen;
het versturen van vervalste checks naar de geldezels.
Cybercriminelen ronselen internetgebruikers om gestolen geld te witwassen. Zij zoeken naar

‘vertegenwoordigers’ die betalingen controleren en documenten versturen. In advertenties
worden internetters verleid om op een gemakkelijke manier geld te verdienen. Katvangers of
geldezels worden aangetrokken met lokmails zoals:
“Help onze doktoren en ontvang daar geld voor.”

“Verdien 25 euro per 2 uur door vanuit huis in uw vrije tijd te werken.”
“Ik ben bereid om 95 euro per uur aan u te betalen voor maatschappelijk nuttig werk in uw vrije tijd"”
“Help zieke mensen in je vrije tijd en verdien 500 euro per week!”
“U kunt in uw vrije tijd niet alleen geld verdienen, maar ook mensen in uw stad helpen.”
Iets goeds doen voor de mensheid er zelf nog geld mee verdienen ook. Dat is te mooi om waar
te zijn. In werkelijkheid maken criminelen geld over naar de rekening van de katvanger dat ze
van andere rekeningen hebben gestolen. De katvanger moet een deel van het bedrag opnemen
en via betalingskantoren zoals Western Union overmaken. Een gedeelte mag de katvanger zelf
houden.
De werkwijze van de moderne cybercrimineel verloopt

in de volgende etappes. De cybercrimineel huurt eerst
black hat hackers in om kwaadaardige software te
schrijven. Via gespecialiseerde distributiediensten
(phishing services, drive-by-download services) wordt
de crimeware verspreid via alle digitale netwerken en
worden de computers van bankklanten geïnfecteerd.
Met de gestolen bankcodes wordt ingebroken op de
Om jongeren te waarschuwen voor criminele
bankrekeningen. Op een afgesproken (lees: operaties startte de Nederlandse Vereniging van
Bankiers de campagne Pasopjepas. “Je bent een
geprogrammeerd) tijdstip wordt van alle rekeningen geldezel als je je pas en pincode uitleent. Daarmee
kunnen criminelen je bankrekening gebruiken om
geld weggesluisd naar de rekeningen van de geldezels. gestolen geld weg te sluizen. Ze beloven je
zogenaamd een beloning. Trap er niet in! Want je
Geldezels sluizen het geld door naar bankrekeningen rekening wordt misbruikt en jij krijgt een
strafblad.”
van de topcrimineel en de geldezels worden
afgescheept met een klein percentage.
De geldezels zijn meestal het haasje — hun pakkans is tamelijk groot. Zij draaien op voor de
schade en kunnen strafrechtelijk worden vervolgd [NVB; Security.nl, 24.6.11; Security.nl,
6.4.12].
Gereedschap van cybercriminelen

bbb
1. Inbraakgereedschap: crimeware (inclusief pw krakers)

2. Verspreiding: drive-by downloads, hengelen & speervissen.
3. Aansturen van C&C-servers.
4. Bescherming van eigen identiteit: reduceren van pakkans.
5. Binnenhalen van de buit: verkopen van de buit.
Niet vergeten spionage: trucs die cybercriminelen gebruiken om bijv. bankgegevens te
achterhalen.
Encryptie van besmette bestanden

Cybercriminelen gebruiken een encryptieprogramma (‘crypter’) om met malware
ge�nfecteerde bestanden te verbergen voor beveiligingssoftware. Om een besmet bestand of
voor antivirus- en inbrackdetectiesystemen te verbergen worden diverse encryptietechnieken
gebruikt. Hoe effectiever de techniek is, des te duurder het wordt.
Een versleutelt bestand kan niet worden uitgevoerd totdat het ontsleuteld is. Als onderdeel van
het encryptieproces wordt er een stub toegevoegd aan het versleutelde bestand. Een stub is
een stukje code dat gebruikt wordt om een ge�ncrypteerde kwaadaardige code weer te
decoderen. De stub keert het proces om dat gebruikt is om het orginele bestand te
versleutelend, extraheert het en zet het om in een uitvoerbaar programma. Als de malware
eenmaal gedecrypteerd is door de stub kan het gelanceerd worden en beginnen om schade te
berokkenen.
Bij een statistische encryptie worden verschillende stubs gebruikt om elk ge�ncrypteerd
bestand uniek te maken. Als er een stub ontdekt wordt door beveiligingssoftware dan moet
deze worden gemodificeerd (‘cleaned’').
Bij polimorfe encryptie wordt gebruik gemaakt van geavanceerde algotismes die random
variabelen, data, sleutels, decoders etc. gebruiken. Een input bronbestand produceert nooit
een output bestand dat identiek is aan de output van een ander bronbestand. Dit wordt bereikt
door verschillende algoritmes te gebruiken.
Gemiddeld kosten encryptieprogramma’s $10-15. Polimorfe crypters — die meesta .EXE en

.DLL bestanden encrypteren— kosten meer. Encryptieprogramma’ die beruchte malware zoals
ZeuS, Pinch en andere bots en Trojaanse paarden gebruiken worden ook online verkocht, voor
zo'n $30-50. Er zijn ook een aantal bijzondere aanbiedingen zoals een dienst die een .PDF
bestand en een .EXE bestand in een .PDF bestand zetten. Op een Russisch cybercrimineel
forum werd het volgende bericht geplaatst:

�You give me an .EXE and any ordinary .PDF file (if you don�t have one, I can use a blank .PDF or my own)
that should be shown to the user. I will stitch them together and give you a toxic .PDF file. When it�s
opened, the .EXE and .PDF are extracted and the toxic .PDF is replaced by the ordinary .PDF and displayed to
the user. This service costs US$420� [Trend Micro 2012:2].
Op de vrije internetmarkt is een zeer uitgebreid aanbod van krachtige encryptieprogramma’s.

Het aan banden leden van dit aanbod is geen realistische optie. Daarvoor zijn deze
programma’s en hun broncode te zeer over de hele wereld verspreid. Geen wet of maatregel
kan verhinderen dat criminelen de hand kunnen leggen op encryptieprogramma’s met militaire
kracht.
Cybercriminelen versleutelen hun communicatie om te ontsnappen aan het wakend oog van
rechthandhavers. De kwaliteit van de encryptie is tegenwoordig zo hoog dat onderschepte
berichten slechts met grote en langdurige inspanning ontcijferd kunnen worden. Het versterken
van kennis van cryptografische technieken en van vaardigheden om versleutelde berichten te
identificeren en te ontsleutelen heeft daarom voor digitale recherchediensten een hoge
prioriteit.
Dedicated server
Om hun anonimiteit te bewaren maken cybercriminelen gebruik van een dedicated server. Dat
is een fysieke server die door de hosting provider in een serverkast in een datacentrum wordt
geplaatst, en die de klant niet met anderen deelt. Ze kan voor diverse kwalijke activiteiten
worden gebruikt, zoals het kraken van wachtwoorden (brute forcing) en zwendel met
creditcards (carding).
Deze activiteiten doet de cracker bij voorkeur niet op zijn eigen machine. Om op een veilige
manier downloads van malware te genereren gebruiken cybercriminelen meestal dedicated
servers of bulletproof providers om internetverkeer naar webpagina te sturen die ge�nfecteerd
zijn met een giftige exploitatiecode. Omdat de dedicated server wordt benaderd via VPN wordt
de anonimiteit van de dader gewaarborgd.
Daarom is er op de zwarte cybermarkt veel vraag naar dedicated servers. Hosting providers die
zichzelf als bulletproof aanprijzen stellen cybercriminelen in staat om elk soort materiaal op een
site te plaatsen zonder angst om uit de lucht gehaald te worden [Threatpost, 24.9.14].
Beheerders van botnets en de crimeware bendes achter banking Trojans hebben veel succes
behaald met het gebruik van bulletproof providers als hun belangrijkste operatiebasis. Maar
inmiddels hebben cybercriminelen ontdekt dat sociale netwerken zoals Facebook en Twitter een
nog vruchtbaarder en gemakkelijker grond is voor het controleren van hun malware. Zij
gebruiken sociale netwerken als commando & controle mechanismen voor hun malware.

Facebook als crimeware commandocentrale

De organisatie van een criminele aanval via sociale media is relatief eenvoudig, maar ook zeer effectief. De
cybercrimineel maakt eerst een of meer nepprofielen aan op een sociaal netwerk. Vervolgens wordt er een
specifieke reeks ge�ncrypteerde commando’s aan het profiel toegevoegd.
Wanneer er een nieuwe computer wordt ge�nfecteerd met crimeware (zoals een Trojaans paard) dan wordt
eerst het profiel benaderd en gecontroleerd op nieuwe commando’s. Het specifieke commando begint met een
reeks willekeurige tekens die dienen als authenticiteitsmechanisme waardoor het Trojaans paard weet dat het
de juiste commando’s heeft gevonden. De rest van de ge�ncrypteerde reeks zijn hard-coded instructies die
het Trojaanse paard vertellen wat het vervolgens moet doen, zoals zoeken naar andere machines in het
netwerk, zoeken naar bewaarde data of registreren van toetsaanslagen wanneer de gebruiker een specifieke
online banksite bezoekt.
Cybercriminelen maken vaak tientallen of honderden van deze profielen aan. Als er een zo’n profiel ontdekt
wordt en uit de lucht wordt gehaald, dan gaat de malware automatisch door naar het volgende profiel.
YouTube als besmettingshaard

Cybercriminelen maken al jaren gebruik van advertenties om slachtoffers naar sites te lokken die
kwaadaardige code bevat. Deze advertenties werden meestal verstuurd per e-mail of vertoont op populaire
websites. Sinds de zomer van 2014 ontdekten de bad cyber guys een nieuw platform om computers van
slachtoffers met malware te infecteren: YouTube.
Terwijl bezoekers naar de advertenties in een video kijken wordt heimelijk de Sweet Organge exploitkit
geladen, die misbruik maakt van bekende lekken in Java, Internet Explorer en Adobe Flash Player die door
deze bezoekers nog niet waren gedicht.
Om opsporing te voorkomen wijzen de advertenties niet direct naar de exploitkit, maar wordt het verkeer via
twee advertentiesites geleid. Vermoedelijk hebben de cybercriminelen achter deze aanval hun verkeer gekocht
van legitieme advertentie providers. Om hun activiteiten een legitiem tintje te geven maakten ze gebruik van
de aangepaste DNS-gegevens van een Poolse overheidssite. Op een of andere manier manipuleerden de
cybercriminelen de DNS-gegevens zodat er subdomeinen aan werden toegevoegd die naar hun eigen servers
wezen.
De kwaadaardige advertenties waren bij verschillende populaire video’s te zien. Zij stonden op video’s met
meer dan 11 miljoen views — met name een muziekvideo die door een bekend platenlabel was geplaatst. Bij
een succesvolle aanval werd een variant van het Kovter-ransomware ge�nstalleerd. Bij deze
afpersingsmethode wordt de computer van het slachtoffer vergrendeld met de mededeling dat de gebruiker
een misdaad heeft begaan en een boete moet betalen om weer toegang te krijgen.
Alleen al in de VS werden binnen 30 dagen al meer dan 113.000 slachtoffers gemaakt. [TrendMicro, 14.10.14].
Proxyserver
Een proxyserver is een intermediare computer die fungeert als een tussenschakel tussen een
computer en het internet. Proxyservers kunnen voor diverse doeleinden worden gebruikt. Ze
versnellen de overdracht van data en filteren het verkeer. De belangrijkste reden waarom zij
door cybercriminelen worden gebruikt, is dat zij anonimiteit verzekeren. De doelserver ziet
alleen het IP-adres van de proxyserver en niet die van de computer van de crimineel.
Een proxyserver kan worden gekocht of gehuurd, maar kan ook worden gestolen.
Cybercriminelen maken vaak gebruik van Trojaanse paarden die aan internet verbonden
computers transformeren in proxyservers.

Fast flux is een DNS-techniek die gebruikt wordt door Double Flux
Het meest geavanceerd zijn de criminele
botnets om de commando en controle server die
netwerken die gebruik maken van de double
kwaadaardige software verspreiden en flux-techniek. Hierbij wordt ook het ip-adres
van de Authoritive Name Server constant
hengeloperaties aansturen te verbergen achter een
gewijzigd. Deze netwerken worden
telkens veranderend netwerk van gecompromitteerde aangestuurd door enkele flux-motherships
computers die als proxies fungeren. Op deze wijze [Honeynet Project, 18.8.08; Tweakers,
19.7.07].
worden een groot aantal IP-adressen verbonden met
��n enkele domeinnaam, waarij deze adressen met extreem hoge frequentie worden
uitgewisseld. Door deze constant wisselende achitectuur wordt het nog moeilijker om het
criminele netwerk te identificeren of te lokaliseren.
De meeste cybercriminelen weten echter ook dat dit geen volledige anonimiteit kan
garanderen. Ondanks de beloftes van proxyserver hosters worden er in die servers toch
logboeken bijgehouden.
Methoden van anonimisering

Er zijn verschillende methoden om de eigen lokatie en identiteit op het internet te verbergen. Het meest
gebruikt zijn proxies, virtuele particuliere netwerken (VPN) en Darknets
VPN - Virtual private networks

VPN technologie wordt gebruikt om een veilige en versleutelde tunnel op een computer te
cre�ren wanneer deze met het internet verbonden is waarlangs vervolgens data worden
getransporteerd. De crimineel kan allerlei conventionele programma's gebruiken (e-mail,
Skype, ICQ) waarbij de data versleuteld blijven ook als zij worden verzonden. Een VPN-
verbinding beschermd data door het versleutelen van al het inkomende en uitgaande verkeer
met de computers waarmee deze is verbonden.
Pay-per-Install (PPI) — Incasseren per infectie

Voor de distributie van malware wordt gebruik gemaakt van het Pay-per-Install (PPI)
bedrijfsmodel. Aanvankelijk werd het PPI-model gebruikt om advertenties te distribueren. De
adverteerder betaalde een commissie voor elke plaatsing van een advertentie door een
gebruiker. De geaffilieerde die intekent bij een PPI-site ontvangt een bestand van de PPI-
provider dat deze op zoveel mogelijk andere internetlocaties geplaatst te krijgen. De
geaffilieerde partner koppelt het PPI-bestand aan een ander programma (zoals een spelletje of
een nuttige bureauapplicatie) dat op hun site beschikbaar wordt gesteld. Op de computers van
de mensen die dat programma downloaden wordt vervolgens automatisch de adware
ge�nstalleerd.
Tegenwoordig wordt PPI vooral gebruikt om kwaadaardige software te verspreiden waarmee

direct of indirect geld gestolen kan worden. De crimineel die zijn malware (meestal Trojaanse
paarden), spyware, ransomware etc. wil verspreiden, betaalt de geaffilieerden een commissie
voor elke keer dat zij erin slagen om een computer, laptop of smartphone te infecteren. De
geaffilieerden versturen met malware vergiftige e-mails, sms- en mms-jes, foto’s en video’s,
bestanden en spelletjes, programma’s naar liefst zo veel mogelijk doelwitten.
In het criminele PPI-bedrijfsmodel werkt een PPI-site samen met duizenden geaffilieerde
partners om kwaadaardige software te verspreiden. De geaffilieerden worden betaald op basis
van het aantal malware infecties dat zij produceren. Om grote aantallen computersystemen te
infecteren wordt gebruikt gemaakt van botnets. Via het controlesysteem van de bot krijgen
gecompromitteerde computers de instructie om een softwarepakket van een geaffilieerde PPI-
bron te installeren [SecureWorks, 29.9.09].
Een klassiek voorbeeld van een criminele PPI-site is Pay-Per-Install.org. Deze site fungeerde
ook als forum en marktplaats waar cybercriminelen delibereren over welke PPI-programma’s de
hoogste winsten genereren.
Cybercriminele casu�stiek
Bredolab botnet — Incasseren per infectie [2010]

Het Bredolab botnet was een Trojaans paard dat Op haar hoogtepunt verstuurde de botnet 3,6
miljard virale e-mails per dag. Computers over
vooral verspreid werd door het versturen van e-mails
de hele wereld werden met schadelijke
waaraan kwaadaardige software was verbonden dat software besmet via in Nederland en Frankrijk
gehuurde servers. De servers werden gehuurd
een computer infecteerde zodra de bijlage werd
bij een klant van LeaseWeb, de grootste
geopend. De g�nfiltreerde computers kwamen hostingprovider in Nederland [OM, 25.10.10].
hierdoor onder volledige controle van cybercriminelen
te staan. Op die manier werden wachtwoorden, financi�le gegevens en andere gevoelige
informatie gestolen.
Een andere manier om de malware te verspreiden was door het gebruik van drive-by
downloads. De malware wordt verspreid door websites die bekende kwetsbaarheden in
webbrowsers en hun plugins exploiteren. Bij gebruikers die zo’n besmette site bezoeken wordt
automatisch de malware op hun computer geplaatst zonder dat ze er erg in hebben.
Bredolab had meer dan 30 miljoen zombie-computers in zijn macht, die vanuit servers in
Nederland ge�nfecteerd waren.
De hoofdinkomsten van het botnet was het verhuur van delen van het botnet aan derden, die
de ge�nfecteerde systemen voor eigen doeleinden konden gebruiken (scareware, malware,

spam etc). De eigenaar van het botnet maakte $139.000 per maand [Kirk, 29,10.10].
Op 25 oktomer 2010 maakte het Openbaar Ministerie bekend dat zij erin geslaagd was om het
Bredolab botnet neer te halen. In totaal werden er 147 servers afgesloten bij een
hostingprovider in Haarlem. Een dag nadat Bredolab was opgerold, werd het vermeende brein
van het virus aangehouden, een zevenentwintigjarige Armeni�r [OM, 26.10.10].
Toen Bredolab botnet bij een Nederlandse hosting provider uit de lucht werd
gehaald, deed de Armeni�r Georgy Avanesov verschillende pogingen om de
controle over het botnet terug te krijgen. Toen dat mislukte deed hij een massale
aanval met 220.000 besmette computers op het systeem van de hosting provider.
Deze DDoS-aanval kon worden be�indigd doordat in Parijs drie servers die de
verdachte bij deze aanval inzette, werden afgesloten van het internet.
Avanesov werd in Armeni� gearresteerd op het Zvartnots vliegveld in Yerevan.

Aanvankelijk ontkende hij elke betrokkenheid bij het botnet. Later gaf hij toe dat hij
de Bredolab malware had gemaakt, maar hij ontkende dat hij criminele intenties
had. In mei 2012 werd hij schuldig bevonden aan ‘computer sabotage’ en
veroordeeld tot vier jaar gevangenisstraf [TechWorld, 14.5.12; Huffington Post,
20.5.13]. Het was de eerste cybercrimineel die in Armeni� veroordeeld werd.
Georgy Avanesov
Na de ontmanteling kraakten het Team High Tech Crime (THTC) en gelegenheidspartner Fox-IT
de infrastructuur van Bredolab, zodat het Openbaar Ministerie via dat netwerk
waarschuwingsberichten kon versturen aan slachtoffers van het virus. Meer dan 100.000
computergebruikers werden gewaarschuwd dat hun computer deel uitmaakte van een botnet
en kregen instructies hoe zij Bredolab van hun computer konden verwijderen.
De KLPD had al twee maanden voordat het tot actie overging weet van Bredolab. Toch werd de
hostingprovider gevraagd de servers draaiende te houden, waardoor het besmetten van
computers gewoon doorging. Volgens het OM was dat nodig om erachter te komen wie de
verantwoordelijken waren. Critici vroegen zich af of het OM hier niet te ver was gegaan.
Hoewel de belangrijkste servers in het Bredolab botnet zijn platgelegd, is een deel van het
netwerk nog levend en zijn een aantal commadoservers in Kazachstan en Rusland nog intact
[The Register, 29.10.10].
Criminele telefoonhengelaars
Het is niet altijd makkelijk om criminele hengelaars te vangen. Maar toch slaagde de politie erin
een Nederlandse bende te arresteren die zich toelegde op het hengelen naar inloggegevens om
daarmee bankrekeningen leeg te halen (phishing].
Het doelwit van de bende waren vooral oudere bestuursleden van verenigingen en stichtingen
in dorpen en kleine steden. Zij werden grootschalig telefonisch benaderd om hun

bankgegevens te ontfutselen. Het geld werd doorgesluisd van rekeningen van

geldezels/katvangers, die verspreid over het land met hun pinpas klaarstonden om geld op te
nemen. In totaal verplaatste de bende 1,4 miljoen euro naar andere bankrekeningen binnen
een tijdsbested van bijna een jaar. Doordat banken vaak argwaan hadden en ingrepen, bedroeg
de daadwerkelijke buit 0,5 miljoen euro.
Virginia E. verrichtte het belwerk en waabij ze zich voordeed als bankmedewerktster. Haar
partner Furgel R. regelde een netwerk van ronselaars die weer geldezels aanwierven. Een van
deze ronselaars was Ricardo G. [Volkskrant, 21.10.13].
Op 21 oktober 2013 werd aan drie leden van de criminele organisatie door de rechtbank in
Haarlem gevangenisstraffen opgelegd. De hoogste straffen waren voor Furgel R. (34) uit
Diemen en zijn partner Virginia E. (34) uit Amsterdam. Zij werden veroordeeld tot 32 maanden
cel, waarvan de helft voorwaardelijk. Ricardo G. (25) uit Den Helder moet 10 maanden zitten.
Omdat de rechtbank op onderdelen van de aanklachten vrijspraak verleende, vielen de straffen
lager uit dan de eisen (die opliepen tot 4 jaar).
Liefdeloze wereld: romantische fraude

Mensen zoeken de ware liefde tegenwoordig ook online. Maar dit oprechte zoeken naar een
partner kan zomaar omslaan in iets boosaardigs. Online dating is doelwit geworden van
criminele individuen die het gebruiken om onvoorzichtige liefdeszoekers te bezwendelen.
Statistisch gezien is de kans dat je op een datingsite een vrouw ontmoet die je wil oplichten is
zeer groot (10% tot 80%). Als je goed oplet zijn er altijd wel signalen (tells of red flags), maar
er zijn ook zeer goed acterende fraudeurs die behendig zijn in het winnen van het vertrouwen
van de liefdesprooi. Meestal wonen zij in landen waar je ze niet kunt bereiken.
De romantische fraudeurs kopi�ren vaak een goed geschreven profiel van iemand anders om
hun slachtoffers te lokken. Zij poseren als vrouwen die de kenmerken hebben die hun
slachtoffers aantrekken, maar zijn niet allemaal super aantrekkelijk of jong.
Nadat er contact is gelegd met een slachtoffer wordt er via e-mail, chatrooms en sms-jes een
vertrouwensband opgebouwd. Vervolgens wordt al snel om een gunst gevraagd. Zij heeft geld
nodig omdat haar kind geopereerd moet worden, omdat er een boze ex afgekocht moet
worden, omdat de begrafenis van een familielid betaald moet worden of omdat zij je wil
ontmoeten maar de paspoorten en visa’s niet kan betalen.
Op 29 mei 2014 arresteerde de politie in Sydney een 39-jarige alleenstaande moeder voor een
romantische zwendel van oudere mannendie haar meer dan $1,86 miljoen opleverde. Zij zocht
de mannen op in datingsites. De nadat ze de mannen wanhopige verhalen vertelde vroeg zij

hen om geld te storten op haar bankrekening. Ze vertelde hen bijvoorbeeld dat haar kind een
operatie nodig had die zij niet kon betalen, of dat er een familielid in Egypte was overleden en
dat zij geld nodig had voor de begrafenis. De vrouw leefde van een uitkering maar leidde een
lux leven met sportauto’s, vakanties, dure handtassen en plastische chirurgie [SMH, 30.5.14].
Zie voor uitvoerige informatie over romantische en datingfraude: Romance Scams Now
Nigeriaanse voorschotfraude: 419 zwendel

419 zwendel is een vorm van oplichting waarbij het slachtoffer gouden bergen wordt beloofd,
als hij eerst relatief kleine onkosten wil voorschieten om de transactie mogelijk te maken. Als
het slachtoffer deze kosten voldoet, dan vraagt de fraudeur nog om nog meer bijdragen om de
transactie af te ronden. Deze kosten-truc wordt herhaald tot het slachtoffer afhaakt, waarna de
oplichters spoorloos verdwijnen.
Het nummer 419 verwijst naar het artikel van het Nigeriaanse strafrecht dat over fraude gaat.
Er zijn diverse vormen van voorschotfraude die er allemaal op gericht zijn om de slachtoffers
geld afhandig te maken. Bekende voorbeelden zijn de Afrikaanse dictator die steun vraag om
een grote som geld van zijn bankrekening te halen,
Kenmerkend voor de meeste oplichtingspogingen is:
het voorstel is te goed om waar te zijn;

de eerste mails bevatten vaak veel taalfouten;
de zwendelaar spreekt je niet met je naam aan;
het voorstel gaat altijd over exotische landen;
er wordt ge�nsisteerd op urgentie en op vertrouwelijkheid;
je wordt voorzien van veel schijnbaar officieel-uitziende documenten die in werkelijkheid
vervalsingen zijn;
er wordt al snel gevraagd naar gedetailleerde persoonlijke informatie zoals adres,
geboortedatum, rekeningnummer van bank, of identificatie zoals paspoort;
er wordt gebruik gemaakt van speciale betalingsmethodes zoals Western Union, waarbij de
ontvanger niet te traceren is en de betaling niet kan worden teruggedraaid.
Oplichters treiteren
Nog steeds worden talloze internetgebruikers het slachtoffer van Nigeriaanse oplichters [Security.nl, 21.1.14].
Mensen die het zat zijn besloten terug te vechten door de oplichters zelf op te lichten. Zij gaan in dialoog met
de oplichters om hun tijd en bronnen te verkwisten waardoor zij minder tijd hebben voor echte potenti�le
slachtoffers. Scam baiting werd een favoriet tijdverdrijf voor vele internetters [Security.nl, 15.5.09; Scam
Eater; ScamORama].
Het treiteren van oplichters kan een gevaarlijke hobby zijn. Oplichters zijn criminelen. Het is bekend dat zij

hun slachtoffers kidnappen, martelen en zelfs vermoorden.
Economie van cybercrime
“blabla” [Generaal-majoor].
Sinds een aantal jaren is cybercriminaliteit veranderd van een obscuur nevenverschijnsel in een
steeds groter wordend veiligheidsprobleem voor consumenten, ondernemers en staten.
Cybercriminaliteit is omvangrijk, snel groeiend, hoog ontwikkeld en uiterst lucratief. De vraag
naar gemakkelijk geld is veel groter dan het aanbod. Een aantal criminelen doen het zeer goed,
maar voor de meerderheid is het een medogenloze strijd om kleine winsten [NYT, 15.4.12].
Kosten van cybercrime - Omvang van de buit

Mondiaal
Cybercriminaliteit veroorzaakt “de grootste transfer van rijkdom in de geschiedenis” [Gen.
Keith Alexander, 9.7.12]. McAfee/CSIS schatten de globale kosten van cybercrime jaarlijks op
zo’ $445 miljard tot $1 biljoen (1012). Dat is 15% tot 20% van de totale waarde die door het
internet wordt gecre�erd [Net Losses: Estimating the Global Cost of Cybercrime, 2014]. Hier
kritische noot: Wired, 1.8.12.
Het Center for Strategic and International Studies (CSIS) en het computerbeveiligingsbedrijf
McAfee berekenden in 2014 dat criminele hackers de internationale economie jaarlijks zo’n 445
miljard dollar schade berokkent (met een minimum van $375 miljard en een maximum van
$575 miljard).
De kosten van diefstal van intellectueel eigendom van de Amerikaanse bedrijven worden door
Symantec geschat op $250 miljard per jaar.
Europa
Volgens de Bijzonder Comissie georganiseerde misdaad, corruptie en witwassen (CRIM) van het
Europese Parlement veroorzaakt cybercriminaliteit in Europa 290 miljard euro per jaar [Der
Spiegel, 13.10.13].
Nederland
Volgens een verkennend onderzoek van het TNO kost @@@
TNO baseert zich op de uitkomst van een Brits
cybercrime de Nederlandse samenleving jaarlijks
onderzoek in opdracht van het ministerie van
tenminste tien miljard euro, dat is 1,5% tot 2% van binnenlandse zaken. Die resultaten zijn
geschaald naar de situatie in Nederland.
ons bruto binnenlands product (bbp). De
onderzoekers van het TNO beschouwen dit getal als een ondergrens. De werkelijke kostenpost
zou zelfs een factor twee tot drie hoger kunnen liggen (zie bijvoorbeeld het onderzoek van

Ernst & Young).
De schade die de Nederlandse economie oploopt als gevolg van digitale diefstal is relatief hoog.
Dat hebben we vooral te danken aan onze relatief hoge dichtheid in bekabeling, de
geavanceerde digitale infrastructuur, de relatief grote hoeveelheid dataverkeer en het open
karakter als handelsnatie.
Volgens Eurostat worden Nederlandse bedrijven vier keer vaker door cybercrime worden
getroffen dan Britse (vergelijk ook het onderzoek van Detica in opdracht van het Britse
ministerie van Binnenlandse zaken).
Van de totale schade komt 75% voor rekening van het bedrijfsleven; 15% komt op de rekening
van de overheid en de burger draait op voor 10%. De drie grootste schadeposten die onder de
noemer cybercrime vallen, zijn inbreuken op intellectueel eigendom (3,3 miljard euro),
industriële spionage (2 miljard) en belasting- en uitkeringsfraude (1,5 miljard). Andere
schadeposten bij het bedrijfsleven zijn afpersing en online diefstal van geld en van
klantgegevens (tussen de half miljard en een miljard euro). Bij de consument gaat het om
diefstal van persoonlijke gegevens en om phishing.
Lastige calculaties
Het is lastig om een enigszins nauwkeurige schatting te maken van de kosten van
cybercriminaliteit. Een van de variabelen die zich moeilijk laat kwantificeren is de diefstal van
intellectueel eigendom. Landen waarin het creëren van intellectueel eigendom belangrijk is
voor economische progressie verliezen door cybercriminaliteit meer handelscontracten, banen
en inkomen. Dit type cyberspionage heeft echter ook aanzienlijke gevolgen voor de nationale
veiligheid. Diefstal van militaire geheimen kost een bestolen natie aanzienlijk meer dan de
monetaire waarde van deze militaire technologie. Hetzelfde geldt voor het stelen van
vertrouwelijke bedrijfsinformatie zoals informatie over investeringen, voorgenomen fusies of
overnames, onderzoeksdata, en gevoelige informatie over zakelijke onderhandelingen.
Professionele cybercriminelen verkopen dergelijke informatie aan concurrerende
ondernemingen, maar gebruiken ze ook voor moeilijk te traceren manipulaties van de
aandelenmarkt. Tenslotte maken lang niet alle bedrijven melding van een digitale inbraak en
van de schade die zij hiervan ondervinden. Slechts 44% van de bedrijven die slachtoffer zijn
maken melding van de cyberaanval.
Onder de schade van cybercriminaliteit vallen ook de alternatieve kosten (opportunity costs) en
de herstelkosten (recovery costs).
Alternatieve kosten - waarde van gemiste kansen (‘forgone activities’). Er zijn drie

soorten opportunity costs: gereduceerde investering in onderzoek en ontwikkeling (R&D),

risicomijdend gedrag door ondernemingen en consumenten, en verhoogde kosten van
netwerkverdediging.
Herstelkosten - kosten van afzonderlijke ondernemingen om te herstellen van cyberfraude

of datadiefstal. Criminelen zijn niet in staat om alle informatie die zij stelen te
monetariseren. Maar de bestolen onderneming moet maatregelen nemen om elk mogelijk
misbruik van de gestolen informatie te bestrijden. De totale herstelkosten zijn vaak
aanzienlijk groter dan de winst voor cybercriminelen.
Betrouwbaarheid van schattingen

Veel schattingen van de kosten van cybercrime zijn gebaseerd op slechte statistische methoden
waardoor zij volledig onbetrouwbaar worden. De schattingen zijn gebaseerd op surveys van
consumenten en bedrijven. Anders dan bij preferentievragen (die in opiniepeilingen worden
gebruikt) vertonen numerieke surveys (zoals cybercrime surveys) bijna altijd afwijkingsfouten
naar boven. Deze metingsfouten worden versterkt wanneer de onderzoekers de surveygroep
opschalen naar de totale populatie.
“Suppose we asked 5,000 people to report their cybercrime losses, which we will then
extrapolate over a population of 200 million. Every dollar claimed gets multiplied by
40,000. A single individual who falsely claims $25,000 in losses adds a spurious $1 billion
to the estimate. And since no one can claim negative losses, the error can�t be
canceled” [NYT, 15.4.12].
De data worden gedomineerd door niet geverifieerde uitschieters. In sommige studies wordt
zelfs 90 procent van de schatting bepaald door het antwoord van een of twee individuen.
Upward bias van schattingen uitwerken
Zwarte cybermarkt
De handel op de zwarte cybermarkt is nu meer rendabel dan de illegale drugshandel. Een
breed spectrum van cybercriminelen heeft virtuele etalages op het web gezet om
databestanden en malware te kopen en te verkopen.
Het is een netwerk van sterk georganiseerde groepen die vaak verbonden zijn met traditionele
criminele bendes, zoals drugkartels, mafia’s, terroristische cellen en natiestaten [RAND 2014]
In veel opzichten lijkt het op een traditionele markt: de deelnemers communiceren via diverse
kanalen, plaatsen orders en ontvangen producten. Niet alleen opbrengsten van cyberinbraken
verhandeld, maar ook hackinginstrumenten (malware) en diensten. Er worden diensten

aangeboden die de meest ongekwalificeerde criminelen in staat stellen om tamelijk

omvangrijke en geavanceerde aanvallen uit te oefenen.
De transactie in de zwarte cybermarkt worden vaak afgehandeld met digitale valuta zoals
Bitcoin, Pecunix, AlertPay, PPcoin, Litecoin and Feathercoin. Veel criminele sites accepteren
alleen digitaal cryptogeld vanwege hun anonimiteit en veiligheidskenmerken.
Tegelijkertijd wordt er op de zwarte cybermarkt malware verhandeld die gericht is op het stelen
van bitcoin en andere digitale valuta. Aanvankelijk infecteerde criminelen de computers van
hun slachtoffers en gebruikten ze voor het delven van bitcoins. Maar deze methode is nu veel
minder effectief — diefstal van bitcoins belooft cybercriminelen grote winsten en volledige
anonimiteit. Bij aanvallen op bitcoinbeurzen is de kosten-tot-inkomsten verhouding nog veel
gunstiger [SecureList, 25.9.14].
Omdat er steeds meer diensten zijn waar de bitcoins kunnen worden witgewassen (bitwassen)
wordt het voor opsporingsdiensten veel moeilijker om gestolen fondsen te achterhalen.
Concurrentie
De markt waarop cybercriminelen operen is een ‘high profit, low risk’ markt. Zo’n markt trekt
snel nieuwe concurrenten aan die ook op zoek zijn naar een deel van de buit. De meeste
misdaden die EC3 onderzoekt worden begaan door Russisch sprekende criminele netwerken.
Het lijkt erop dat de Russen de dienst uitmaken. In fraudezaken spelen ook Roemeense en
Bulgaarse bendes en rol. Maar ze krijgen snel concurrentie van criminele bendes uit andere
continenten. De verwachting is dat criminelen uit Azi�, Afrika en andere continenten ook in de
markt stappen. Oost-Europeanen, vooral uit Russisch-sprekende landen, waren in 2013
verantwoordelijk voor 21% van de gevallen van cyberspionage. Op dat vlak worden ze al
voorbijgestreefd door de Aziatische hackers. Die zijn goed voor 49% van de aanvallen.[Verizon
2014; Trouw, 8.8.14].
Specialisatie
Veel Vietnamese criminele bendes concentreren zich op hacks van e-commerce; de criminelen
uit Rusland, Roemeni�, Litouwen en Oekra�ne focussen op financi�le instellingen, terwijl
Chinese cybercriminelen zich specialiseren in intellectueel eigendom en in online gaming
platforms.
Meer en meer transacties verschuiven naar particuliere virtuele netwerken en het darknet.
Daarbij wordt nog meer gebruik gemaakt van encryptie- en anonimiseringstechnieken die de
toegang tot de meest geavanceerde delen van de zwarte markt tr beperken.

Het duistere diepe web

Het voor ons zichtbare web is slechts het topje van de ijsberg. Daaronder ligt het diepe of
duistere web. Het is een deel van het web dat niet geïndexeerd kan worden door
zoekmachines. Het is een plaats waar Google niet komt.
Er zijn wel zoekmachines voor het diepe web, bijv.@WalmartLabs (voorheen Kosmix).
Het diepe web representeert 90% van het internet. Het bevat grote hoeveelheden informatie
die niet door zoekmachines kunnen worden gecatalogiseerd. Als je het juiste adres van de
darksites niet weet, zul je ze nooit vinden. Het is niet makkelijk om deze adressen te
onthouden omdat de URLs bewust zeer ingewikkeld zijn gemaakt (bijvoorbeeld
www.SdddEEDOHIIDdddgmomiunw.onion).
Het diepe web bestaat uit particuliere intranetten die met wachtwoorden zijn beschermd en uit
documenten die in formaten zijn geschreven die niet kunnen worden geïndexeerd.
Het diepe web is onzichtbaar en is daarom een zeer aantrekkelijke locatie voor activieiten die
het licht niet kunnen verdragen: kinderporno, handel in creditcard, wapens, drugs en mensen,
huurmoordenaars, prostituees etc. Het diepe web is de grootste zwarte markt die er ooit heeft
bestaan. Cybercriminelen komen samen op private webfora met beperkte toegang.
Het belangrijkste ingang tot het diepe web is TOR TOR is weliswaar de meest gebruikte, maar
niet de enige ingang tot het darknet. Andere
(The Onion Router). TOR encrypteert de
diensten zijn Freenet en het Invisible Internet
gebruikersinformatie in diverse lagen (net als een ui) Project (I2P). Deze diensten bieden
vergelijkbare mogelijkheden voor
en verstuurt het naar een uitgebreid netwerk van
anonimisering, hoewel zij andere protocollen
vrijwillige servers die in de hele wereld verspreid zijn. hanteren. Freenet is een volledig
Hierdoor wordt het bijna onmogelijk om gebruikers op gedecentraliseerd peer-to-peer system (P2P).
I2P is een open source anoniem
te sporen of de informatie die zij uitwisselen. Het is communicatienetwerk dat bovenop het
een byzantijns systeem van virtuele tunnels die de gewone internet werkt (‘overlay network’).
Net als bij TOR wordt de communicatie via
oorsprongen en bestemmingen van data verbergen en meerdere tussenliggende computers gestuurd
dus de identiteit van de gebruikers. en in telkens nieuwe lagen ge�ncrypteerd.
Werking van TOR

Tor is een open netwerk voor anonieme communicatie. Het Tor-netwerk is bedoeld om te voorkomen dat
anderen door analyse van het berichtenverkeer kunnen achterhalen wat de herkomst en bestemming van
berichten is. Het netwerk is gebaseerd op onion-servers, computers die als tussenstations dienen tussen de
afzender en de bestemming. Berichten reizen volgens een willekeurig pad via verschillende onion-servers naar
hun bestemming, waarbij iedere server een versleutelde laag van de routinginformatie ontcijfert, vergelijkbaar
met de schillen van een ui die verwijderd worden. Deze data wordt dan doorgestuurd naar de volgende server
totdat de volledig ontcijferde data bij de ontvanger aankomen. Het gebruik van het Tor-netwerk is gratis.
Het Tor-netwerk stelt internetgebruikers in staat om hun IP-adres te verbergen. Het verkeer van Tor-
gebruikers loopt over meerdere computers, die relays of nodes worden genoemd. Om het Tor-netwerk te laten
draaien zijn er drie soorten relays: middle-relays, exit-relays en bridges.

De eerste twee relays waarover het verkeer van een Tor-gebruiker loopt zijn middle-relays. Hun enige functie
is om bijvoorbeeld het verzoek om een website op te vragen en aan een andere relay door te geven. Hoewel
middle-relays zich kenbaar op het Tor-netwerk maken, wordt hun IP-adres niet getoond. Het is dan ook vrij
veilig om een middle-relay op te zetten.
De exit-relay is de laatste schakel in de keten waarover het verzoek loopt voordat het de uiteindelijke
bestemming bereikt. Exit-relays maken zich aan het hele Tor-netwerk kenbaar. Hun IP-adres is het enige IP-
adres dat de bestemming ziet, ook al is dit niet het IP-adres dat als eerste de website opvroeg. Beheerders
van een Tor exit-relay kunnen door de politie worden opgepakt. Deze exit-nodes zijn echter essentieel voor het
Tor-netwerk.
Tenslotte zijn er nog de bridges, relays die niet als onderdeel van het Tor-netwerk zichtbaar zijn. Bridges
fungeren vooral als middel om censuur in landen te omzeilen die bekende Tor-relays blokkeren, zoals China.
Het draaien van een bridge is temakelijk veilig. Zonder al deze relays kan het Tor-netwerk niet functioneren.
Bij iedere tussenstap is alleen de routinginformatie voor de voorafgaande en de volgende server in

onge�ncrypteerde vorm aanwezig. Daarom is het onderweg nergens mogelijk om de oorsprong en de
bestemming van het bericht te bepalen. Omdat voor elke tussenliggende gebruiker een bijkomende laag
encryptie wordt toegevoegd, kent elke gebruiker slechts de versoon voor en na zichzelf. Voor de computer op
de eindbestemming lijkt het alsof het bericht van de laatste onion-server komt. Bij de laatste server is alleen
maar te bepalen wat de data zijn en niet waar ze vandaan komen. Omdat het Tor-programma willekeurige
servers kiest waarlangs het de data verstuurt, is het heel moeilijk om een bepaalde computer af te luisteren.
Oorsprong
Tor werd in 2001 ge�ntroduceerd door programmeurs van MIT en het U.S. Naval Research Laboratory op een
beveiligingsconferentie in Californi�. Het Tor Project is verder ontwikkeld met steun van de Amerikaanse
overheid. In 2010 was het programma al meer dan 36 miljoen keer gedownload. Het wordt vooral gebruikt
door vredesactivisten, mensen- en burgerrechten activisten, journalisten en militairen.
Niet helemaal veilig

Zie: [NYT, 5.9.13; WT80, 3.9.13]
Een voorbeeld daarvan is het in 2011 gelanceerde Silk Road, een geheim web voor de koop en
verkoop van allerlei soorten drugs. Naar schatting gaat er in Silk Road jaarlijks $22 miljoen om.
Politiediensten stelden alles in het werk om deze illegale handel te stil te leggen. Hier en daar
werden er transacties onderschept, maar het is bijna onmogelijk om het netwerk te
ontmantelen of de gebruikers daarvan te traceren.
In oktober 2013 slaagde de FBI erin om om Silk Road tijdelijk te sluiten. Maar in november
2013 was Silk Road 2.0 weer online.
Digitaal sporenonderzoek
In de virtuele werkelijkheid zijn er geen rokende wapens, geen voet- of vingerafdrukken die
een indicatie geven over wie een misdaad heeft begaan, en hoe het delict is uitgevoerd. De
opsporing van cybercriminelen verloopt primair door het achterhalen en vastleggen van digitale
sporen.
Digitale sporen

Forensisch onderzoek is sporenonderzoek ten behoeve van strafrechtelijk onderzoek. Om de

daders van een cybercrime op te speuren moeten de digitale sporen daarvan worden gevonden
en geïnterpreteerd. Een digitaal spoor is een spoor dat wordt achtergelagen bij interacties in
een digitale omgeving. Daarbij gaat het zowel om sporen die op internet en telecommunicatie
worden achtergelaten, als de sporen op de apparaten die bij het delict zijn gebruikt.
Bewijzen tegen cybercriminelen kunnen dus op twee manieren worden verzameld.
Fysieke en digitale sporen op apparaten

Als men weet welke apparatuur gebruikt is om een cybermisdaad te plegen kan deze
worden onderzocht op fysieke sporen (zoals vingerafdrukken en DNA), maar ook op digitale
sporen die zijn opgeslagen op computers (of onderdelen daarvan), servers, USB-sticks,
laptops, tablets en mobiele telefoons.
Als er bij een cybermisdaad gebruik is gemaakt van een infecterende USB-stick dan kan
deze op DNA-sporen of vingerafdrukken worden gecontroleerd. En als je weet welke
computer gebruikt is, kun je daarmee hetzelfde doen. In beide gevallen is forensisch
onderzoek echter zeer lastig.
Ten eerste moet het apparaat zelf worden geïdentificeerd. Als dat ooit gevonden wordt dan
gebeurt dat pas veel later als de meeste sporen al verdampt zijn. Zelfs als de computer
waarmee het delict is begaan gelokaliseerd wordt, dan is dat meestal niet de computer van
de crimineel zelf, maar een door de crimineel gehackte computer.
Ten tweede hebben forensische onderzoekers niet zoveel tijd als de crimineel:
cybercriminele operaties worden meestal weken of maanden voorbereid en worden
vervolgens bliksemsnel uitgevoerd. De verdediging heeft voor het traceren van de sporen
slechts een paar ogenblikken. De verbindingen tussen de aanvallende computer en een
doelcomputer zijn meestal van erg korte duur. Na de aanval wordt de verbinding verbroken
en de computer van het internet ontkoppeld.
Digitale sporen die op gegevensdragers zijn achtergelaten. Steeds belangrijker: gegevens

uit een computer of mobiele telefoon (GSM).
Digitale sporen achterhalen

Al onze handelingen in cyberspare laten informatie na
die ons als een schaduw blijft. Die informatie ligt
ingeschreven in digitalesporen. De belangrijkste
voorbeelden zijn:
tijdstip en plaats van inloggen en uitloggen op systemen;

bezoeken van websites, discussiefora of databanken;

zoekopdrachten;
gebruik van anonimiserings- of encryptiemechanismen;
gebruik van darknet;
gemaakte of bekeken bestanden;
e-mailverkeer;
chat- en twitterberichten;
alle berichten en conversaties op sociale netwerken;
mobiele telefoonverkeer: wie belt met wie, locatie op basis
van peilgegevens van GSM;
logbestanden van een provider/server.
Mobiele sporen
Sporen van mobiele telefoons: de zendmast ziet u Digitale voetsporen
Bevoegde autoriteiten kunnen telecomproviders verplichten om verkeersgegevens lten af te
staan voor opsporing en veroordeling van individuen die van een misdaad worden verdacht.
Daarbij gaat het over (a) wie met wie belt en sms'’t vanaf welke locatie en hoe lang; (b) wie e-
mailt met wie en hoe regelmatig; (c) wie bezoekt welke websites, discussiefora, databanken en
welke trefwoorden worden in zoekmachines ingevoerd.
Locatiegegevens: We weten waar jij bent

Het is niet langer ondenkbaar dat in de virtuele wereld van cyberspace werkelijk iedereen
permanent wordt gevolgd. In feite gebeurt dit al: iedereen die een mobiele telefoon bij zich
heeft loopt met een een volgsysteem op zak dat telkens zijn locatie doorgeeft aan
telecombedrijven. Die telecombedrijven zijn wettelijk verplicht om deze informatie af te staan
als de overheid daarom vraagt.
In digitale mobiele netwerken worden locatiegegevens gebruikt om de transmissie van

communicatie te faciliteren. Locatiegegevens zijn gegevens waarmee de geografische positie
van de eindapparatuur van een gebruiker van een elektronische communicatiedienst wordt
aangegeven. Zij geven niet alleen aan waar iemand zich op welk tijdstip bevind (breedte,
lengte, hoogte), maar ook in welke richting en met welke snelheid iemand zich verplaatst.
Locatiegegevens zijn een bijzondere vorm van verkeersgegevens. Alle andere

verkeersgegevens hebben betrekking op het communicatieve gedrag van gebruikers.
Locatiegegevens hebben ook betrekking op feitelijk gedrag op momenten dat er niet wordt
gecommuniceerd [Ekker 2002b: 46].
Verkeersgegevens: We weten wie jij bent

Er is al eerder op gewezen dat de metadata over ons communicatiegedrag vaak gevoeliger
informatie bevatten dan wát er wordt gezegd en geschreven. Verkeersgegevens omvatten veel
meer dan: wie belt/mailt/chat/sms’t etc. wanneer hoelang en hoe vaak met wie.

Van élke techniek en élke vorm van digitale communicatie kunnen álle soorten
verkeersgegevens worden opgeslagen en verzameld. Het gebeurt bij alle apparaten die we
dagelijks gebruiken: computer, laptop, tablet, mobiele telefoon en smart-tv. Alle digitale
communicatievormen laten sporen na die als verkeersgegevens te traceren zijn. Dit geldt voor
elke website die je bezoekt, voor elke muisklik op het internet, voor elk bestand dat wordt
geup- of download, voor elke e-mail die verzonden of ontvangen is, voor elke bijdrage
(posting) op alle webfora, voor elk woord of beeld dat je ooit via een sociaal medium hebt
verspreid in je virtuele persoonlijke netwerk, voor elke persoon waarmee je ooit contact hebt
gehad via een van je mobiele communicatieapparaten, en voor elke plaats die je ooit op deze
globe hebt bezocht met je mobieltje op zak. Verkeersgegevens omvatten ook het ip-nummer
waarvan je gebruik maakt, de protocollen en programma’s je gebruikt, de merknaam, het type
en het serienummer van het apparaat dat je gebruikt, het volume van de communicatie enz.
enz.
Het aantal communicatietechnieken en de hoeveelheid gegevens die bij de verschillende

communicatievormen worden gegenereerd, neemt steeds meer toe. Daarom is een blijft het
lastig om een technische of juridische definitie te geven van verkeersgegevens [Ekker 2002b].
Identificatie: attributieprobleem
Wie is verantwoordelijk - lastige attributie (zie cyberoorlog).
Lokalisatie van cybercriminelen

Bij het achterhalen van digitale sporen in cyberspace wordt de programmering van het
cyberdelict zelf onderzocht. Cyberdelicten vertonen vaak bijzondere methoden van
programmering die kenmerkend zijn voor bepaalde (nationale of regionale) crackerculturen.
Ook deze eigenschappen kunnen echter gemakkelijk worden vervalst en vertekend. Wie de
verdenking van een aanval op China wil richten, kan van een Chinees hackersforum bepaalde
stukjes van de kenmerkende code kopiëren en in het aanvalswapen inbouwen.
Wie profiteert?
Een cyberdelict wordt bijna altijd met een bepaald oogmerk of doelstelling gepleegd. Bij
cybercriminelen is dat per definitie geldelijk gewin, illegale zelfverrijking. De eerste vraag die
bij elke cybercrime gesteld moet worden is: wie profiteert ervan - Cui bono? [Cavelty/Rolofs
2012] Wat beoogt de crimineel met zijn cyberdelict te bereiken en wie profiteren daar nog
meer van?
Professionele cybercriminelen kunnen een aanval zo ensceneren dat deze er uit ziet als een
sabotageaanval van de Mossad op Iran of als een spionageaanval van de Chinese regering op
de wapenindustrie van de V.S. Op die manier worden de werkelijke oogmerken en de identiteit

van de aanvaller verhuld.
Speuren naar sporen

Openbaar bronnenonderzoek
effici�nt zoeken
zoekmachines en internetgidsen
Google
het diepe web
zoekopdrachten
tools
Verzamelen van sporen
discretie
gedocumenteerd (betrouwbaarheid)
uitlezen (NFI)
interpretatie
let op juridische en digitale mogelijkheden en grenzen.
Internettaps
Jaarlijks maakt de minister van Veiligheid en Justitie bekend hoeveel taps er door Nederlandse
opsporingsdiensten worden ingezet ten behoeve van de opsporing van strafbare feiten. Sinds
2010 wordt daarbij ook het aantal IP- en e-mail taps bekend gemaakt. [[Maar niet over het
aantal vorderingen bij sociale netwerken als Facebook en Twitter. Er worden totaalcijfers over
het opvragen van gegevens verstrekt, maar dit wordt niet opgesplitst naar sociale mediatype.
Het belang van opsporing en vervolging zou zich hiertegen verzetten, aldus staatssecretaris
Teeven [bron] Art. 126 WvS - internettap
In het opsporingsonderzoek wordt steeds meer gebruik gemaakt van de internettap.
Sporen verbergen en wissen

Cybercriminelen nemen steeds betere maatregelen om hun websites met criminele inhoud en
hun phishing operaties.
TOR-netwerk
Het TOR-netwerk maakt het mogelijk om volledig anoniem te kunnen surfen op het internet.
Via het TOR-netwerk zijn op eenvoudige wijze drugs, wapens en kinderporno te verkrijgen.
Fast flux
Fast Flux is een DNS techniek die gebruikt wordt door botnets om phishing en malware delivery
sites te verbergen achter een telkens veranderend netwerk van gecompromitteerde hosts die
als proxies opereren. Malware varianten die gebruik maken van deze techniek zijn «Storm
Worm», «Warezov», «Alalanche» en «Wibimo»

Het basisidee is dat aan een enkele volledig gekwalificeerde domeinnaam (zoals
www.politieacademie.nl), een groot aantal IP-adressen verbonden worden. Deze IP-adressen
worden onderling in een hoog tempo uitgewisseld. Dit gebeurt door een combinatie van round
robin — een techniek die gebruikt wordt bij load balancing— en een extreem korte time-to-live
van een individueel DNS-record. Op die manier verwijst de hostname om de paar minuten naar
een andere computer. Deze computers zijn in de regel ge�nfecteerde computers van
thuisgebruikers die middels een botnet met elkaar verbonden zijn. [Honeynet Project, 16.8.08;
Tweakers.net, 19.7.07].
De detectie van een botnet kan nog moeilijker worden gemaakt wanneer er gebruik wordt
gemaakt van sterke encryptie. In het Wibimo-botwerk werd elke boodschap minstens tien keer
bewerkt met het encryptie-algoritme RC4. Hierdoor is de crypto-analyse van de code nog
moeilijker [Darkreading, 18.2.11].
Het gebruik van deze technieken maakt het opsporen en uitschakelen van criminele websites
een stuk moeilijker. Websites kunnen immers niet meer op basis van een IP-adres of via een
enkele internetprovider uit de lucht worden gehaald.
Proactieve opsporing — digitaal de straat op

Opsporings- en vervolgingsinstanties werken nu meestal reactief. Eerst moet een misdaad zijn
gepleegd voor het onderzoek begint. Digitale rechercheurs zouden meer proactief kunnen
opereren door te surveilleren op kletskanalen, webfora, crimogene websites en mobiele
netwerken om zo aanwijzingen voor ophanden zijnde delicten te verzamelen. Opsporing en
vervolging zijn echter aan allerlei restricties gebonden en geografisch afgebakend die zijn
vastgelegd in de wet Bijzondere Opsporingsbevoegdheden.
Hoe kan de strafrechtketen zich aanpasssen Vragen

Mag je als agent surveilleren op internet met een valse
aan de grenzeloosheid van internet, zonder
account? Mag je pedofielen in de val lokken door middel
dat de soevereine rechten van andere staten van een volledig virtueel lokmeisje? Mag je terughacken
op een crimineel computersysteem of netwerk dat buiten
of de vrijheidsrechten van burgers in het
onze landsgrenzen is gelokaliseerd? Welke regels gelden
geding komen? De politie kampt niet alleen nou eigenlijk voor opsporing en vervolging op internet?
met een tekort aan kennis en capaciteit,

maar ook aan duidelijkheid over bevoegdheden om internationaal, nationaal of lokaal
opererende cyberbendes aan te pakken.
Virtuele lokpubers - proactief patrouilleren op openbare online trekpleisters

In het Nederlandse parment is in de loop der jaren meerdere keren aan de vraag opgeworpen
of het inzetten van lokpubers een zinvol opsporingsmiddel kan zijn. Elke keer was het antwoord

‘nee’. Het risico van uitlokking werd te groot geacht. Na inzet van dit middel zou het niet tot
een strafbare vervolging komen omdat de verdachte niet daadwerkelijk een minderjarige had
verleid.
Al in 2012 bepaalde het gerechtshof dat de inzet van agenten die zich op internet voordoen als
minderjarigen geen geschikt middel is bij de opsporing van grooming. In 2013 werd dit door
het gerechtshof Den Haag nog eens bevestigd.
In een aantal zaken (Cuijk en Amsterdam) waarin uiteindelijk verdachten zijn aangehouden,
had de politie allang informatie en aangiftes waarmee in eerste instantie niets werd gedaan.
Advokaten vragen zich af: “Als de bestaande mogelijkheden al niet benut worden, waarom dan
een nieuwe opsporingsmethode toevoegen?” [Sidney Smeets, VK, 16.1.14].
Bij webcam-kindersekstoerisme (WKST) Oplopende schade

Webcam kindersekstoerisme is net zo verwoestend als
leggen mannen via chatrooms contact met
fysiek misbruik. De betrokken kinderen ontwikkelen een
vaak jonge kinderen in ontwikkelingslanden minderwaardigheidscomplex en vertonen symptomen van
posttraumatisch stresssyndroom. Ze voelen zich
en vragen hen voor de webcam seksuele
beschaamd en schuldig over wat ze doen en vertonen
handelingen te verrichten tegen betaling. zelfdestructief bedrag en gebruiken alcohol of drugs om
zich te ontspannen en hun problemen te ontvluchten. De
Volgens de hulporganisatie Terre des
wereldwijde vraag naar webcam kinderseks stijgt explosief,
Hommes is het een opkomend fenomeen waardoor ook het aantal kindslachtoffers toeneemt.
Tegelijkertijd wordt internet in ontwikkelingslanden steeds
dat moet worden aangepakt voordat de
goedkoper en makkelijker toegankelijk, wat webcam
georganiseerde misdaad zich ermee gaat kindersekstoerisme verder in de hand werkt. Volgens de VN
bemoeien. en de FBI zijn er ieder moment 750.000 kindermisbruikers

actief op internet.
Om het kindsekstoerisme via de webcam in kaart te brengen gingen de onderzoekers van Terre
des Hommes undercover op chatrooms. Hiervoor werd een 10-jarig virtueel Filipijns meisje
ontwikkeld dat luisterde naar de naam Sweetie. Het computermodel was nauwelijks van echt te
onderscheiden. Sweetie praat en beweegt zonder dat je merkt dat het om een animatie gaat.
Via het virtuele Filipijns meisje spoorde de Terre des Hommes ruim
1000 kindermisbruikers op het internet op, waaronder 20
Nederlanders. De gegevens en daden van deze misbruikplegers,
uit meer dan 65 landen, werden op 4 november 2013
overgedragen aan Europol en Interpol met als doel om te worden
Sweetie - het virtuele lokmeisje
uitgewisseld met andere landen.
Europol was niet vooraf op de hoogte gebracht van het onderzoek van Terre des Hommes. Zij
waardeert de aandacht voor online kindermisbruik, maar maakt daarbij wel de kanttekening:
“Criminele onderzoeken, waarbij gebruik wordt gemaakt van indringende surveillance

maatregelen, moeten de exclusieve verantwoordelijkheid blijven van

wetshandhavingsinstanties” [VK, 5,11.13].
Sweetie is het eerste virtuele lokmeisje dat op Als vliegen op de stroop

Vier onderzoekers surften vanuit een loods in
internet wordt ingezet om pedoseksuelen te
Amsterdam-Noord langs allerlei openbare
ontmaskeren. Het digitaal geconstrueerde chatsites en gaven zich uit voor Sweetie. Zij
waren verrast over de resultaten:
meisjesgezicht wordt gebruikt op online-hangplekken
“Zodra zij zich in chatrooms ophield en
van kindermisbruikers. De bewegende avatar gaat via duidelijk maakte dat ze 10 jaar was en van de
de webcam met sekscriminelen in gesprek, om deze Filippijnen kwam, vlogen de mannen op haar
af en boden ze geld. Zij kreeg direct allerlei
te lokaliseren. Sweetie werd ontworpen door het verzoeken en vaak zeer expliciet; bijvoorbeeld
Amsterdamse ontwerpbureau Lemz, in opdracht van of ze haar kleine zusje erbij wilde halen. We
konden op die manier wel tien gesprekken
Terre des Hommes. In 10 weken kreeg Sweetie zo’n tegelijk voeren, maar hielden het telkens bij
20.000 gespreksverzoeken uit de hele wereld en wist twee gesprekken tegelijk” [woordvoerder
Terre des Hommes, in: VK, 4.11.13].
‘zij’ meer dan 1000 mannen aan zich te binden.
Mannen die de fictieve Sweetie bestookten met seksuele verzoeken en zichzelf op de webcam
lieten zien, werden op video vastgelegd. Met behulp van sociale media werd hun identiteit
achterhaald.
De Sweetie-actie van Terre des Hommes toonde weliswaar het nut van de lokpuber aan. Maar
in de Sweetie-zaak zijn nog maar weinig verdachten vervolgd [NOS, 5.2.14;]. Omdat de
mannen het meisje zelf benaderden is er geen sprake van uitlokking. Maar omdat Sweetie niet
uit de kleren ging en geen geldtransacties plaatsvonden, is het juridisch niet eenduidig of het
hier om een strafbaar feit gaat. Het is hooguit sprake van een intentie om een kind virtueel te
misbruiken. Maar zelf dat is —zoals ook projectleider Hans Guijt constateert— ontzettend
moeilijk te bewijzen [Terre des Hommes, 15.12.13]. Virtuele seksuele contacten zijn alleen
strafbaar wanneer het slachtoffer ook werkelijk minderjarig is. Het ‘slachtoffer’ is in dit geval
echter geen minderjarig kind maar een computermodel.
Pleidooi voor proactief opsporingsbeleid

“De bestaande wetgeving is het probleem niet. De VN heeft wetgeving vastgesteld die kindermisbruik
nagenoeg universeel strafbaar stelt. Het grootste probleem is dat de politie geen actie onderneemt totdat
kindslachtoffers aangifte doen, wat bijna nooit gebeurt. Deze kinderen worden namelijk gedwongen dit te
doen: ofwel door volwassenen, ofwel vanwege extreme armoede. En als ze aangifte doen, moeten ze soms
tegen hun eigen familie getuigen, wat bijna onmogelijk is voor een kind.
We willen regeringsleiders dwingen tot proactief opsporingsbeleid waardoor politieorganisaties actief kunnen
patrouilleren op openbare internet hotspots waar kindermisbruik plaatsvindt. Op dit moment denken
misbruikplegers dat de wet niet op hen van toepassing is. Op het internet kan veel, maar het is niet wetteloos”
[Hans Guijt, Terre des Hommes, 4.11.13].
Terre des Hommes roept met een wereldwijde petitie de internationale autoriteiten op om proactieve
onderzoeksmiddelen in te zetten om zo een einde te maken aan webcam kindersekstoerisme [YouTube].

Online doorzoeking
In aanwezigheid van een officier van justitie en een rechter-commissaris mag de Nederlandse
politie een huis doorzoeken. Maar een computer op afstand binnendringen is verboden.
Daarmee zouden de opsporingsinstanties zich schuldig maken aan computervredebreuk, of
terughacken. Maar op die manier kan wel kwaadaardige software onschadelijk worden gemaakt
en achterhaald wie een specifiek delict heeft of hebben begaan.
Tot Lobith en niet verder?

Wanneer er een misdaad wordt gepleegd met behulp van een computer in het buitenland, dan
heeft de Nederlandse politie geen jurisdictie om buiten de eigen landsgrenzen te opereren.
“Computercriminaliteit kan pas echt goed worden aangepakt als de Nederlandse politie op afstand in de
computers van buitenlandse cybercriminelen mag kijken, en in de echt zware gevallen onschadelijk maken”
[Cybercrime-officier van justitie Lodewijk van Zwieten, in: VN, 28.7.11].
Landen schenden elkaar soevereiniteit in de bestrijding van cybercrime. “Cybercops lappen

internationale wetten aan laars” [Jan-Jaap Oerleman, in: De Rechtspraak, 4.4.12 — zie zijn
proefschrift over cybercrime]. Deze constatering werd onderschreven door de eerder geciteerde
cybercrime-offifier van justitie: de Nederlandse recherche kraakt soms buitenlandse computers
en schendt daarmee de soevereiniteit van andere landen. Dat mag niet, maar het kan niet
anders [De Rechtspraak, 4.4.12].
Bewijsvoering bij de strafrechter

[HERSCHRIJVEN - via Securityrecht
Het strafrecht heeft strenge regels over het gebruik van bewijs. De hoofdregel is dat het
Openbaar Ministerie (OM) wettig en overtuigend bewijs moet leveren dat de verdachte het
strafbare feit gepleegd moet hebben. Het bewijs mag niet met een illegale tap of door
verboden dwang zijn verkregen en moet �overtuigend� zijn. De rechtbank mag geen
#145;gerede twijfel’ hebben over wat het bewijs nu eigenlijk bewijst.
Bij een cyberdelict bestaat het bewijs vrijwel altijd uit verklaringen of rapporten van
deskundigen over wat er in opslagmedia, logbestanden en andere bestanden te vinden is. Zo’n
deskundige kan computers, laptop, tablets of mobiele telefoons onderzoeken en op basis
daarvan zijn conclusies trekken, waarmee de rechter zich kan laten overtuigen.
Rechter gaan af op wat hij in de logbestanden en andere bewijsstukken lezen. Maar die
logbestanden en andere ICT-aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om ook
als bewijs te dienen. Een van cybercrime verdachte kan beweren dat hij het niet heeft gedaan
en dat een derde zijn computer heeft misbruikt. Dan worden getuige-deskundigen opgeroepen
die moeten uitleggen wat voor digitale aanwijzingen er op de computersystemen van de

verdachte gevonden zijn, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer
van buitenaf.
Rechters hoeven zelf geen specialistisch verstand van ICT te hebben, maar moeten wel kunnen
inschatten welke deskundige de meest logische verklaring aflegt, en bij tegenstrijdige
verklaringen afwegen aan welke zij het meest geloof hechten.
Forensisch bewijs
Bij strafzaken wordt het bewijs meestal veiliggesteld en geanalyseerd door een forensisch
deskundige. Het Nederlands Forensisch Instituut (NFI) levert diensten aan het OM en Justitie
bij strafzaken. Ook diverse private partijen kunnen voor dit doel worden ingeschakeld.
Het NFI heeft ten behoeve van bewijslevering de Forensisch-Technische normen (�FT-
normen�) opgesteld. Deze normen beschrijven eisen, voorwaarden en aanbevelingen met
betrekking tot het opsporen en veiligstellen van sporen die zijn achtergebleven na een misdrijf.
De meeste FT-normen zijn juridisch niet bindend (maar wel sterk aanbevolen). Enkele normen
zijn direct afgeleid van wetgeving en daarmee indirect wel bindend.
Voor digitaal forensisch onderzoek zijn er nog geen FT-normen, hoewel er wel een conceptnorm
is voor onderzoek aan mobiele telefoons. Ook zijn er normen voor onderzoek naar
gespreksopnamen.
De resultaten die door NFI of een recherchebureau worden gepresenteerd, worden meestal
voor waar aangenomen. Tenzij de tegenpartij daar eigen onderzoek tegenover stelt, zal de
rechter zelden vraagtekens zetten bij de kwaliteit van het bewijs.
Digitale veiligheid_NL
“blabla” [Generaal-majoor].
Ook de Nederlandse overheid beseft dat de toenemende afhankelijkheid van informatie- en

communicatietechnologieën veel risico’s en dreigingen voor de sameleving met zich meebrengt.
Het digitale domein wordt in toenemende mate gebruikt voor vandalisme, criminaliteit,
terrorisme en oorlogsvoering. Het ontregelen van vitale informationele en communicatieve
infrastructuren kan tot grote maatschappelijke ontwrichting leiden. Ook onze nationale defensie
is in toenemende mate afhankelijk van betrouwbare, veilige en beschikbare ICT-netwerken. Om
de inzetbaarheid van de krijgsmacht te waarborgen zal de digitale weerbaarheid van defensie
versterkt moeten worden.
Slagkracht door samenwerking - NCSC

In februari 2011 stelde de Tweede Kamer de Nationale Cyber

Security Strategie vast onder de titel Slagkracht door
samenwerking. In deze titel is de kern van de Nederlandse
strategie voor cyberveiligheid samengevat: cyberveiligheid is een
dermate veelomvattend en ingewikkeld probleem dat
samenwerking een absolute vereiste is. Ervaringen met eerdere
verstoringen van de cyberveiligheid toonden aan dat een crisis het
snelst in de kiem kan worden gesmoord wanneer overheid en
bedrijfsleven de krachten bundelen. De overheid moet er voor
zorgen dat alle beschikbare kennis wordt gemobiliseerd en samengebracht. Hierdoor werd het
Nationaal Cyber Security Centrum (NCSC) in het leven geroepen. Zij moet de weerbaarheid
van de Nederlandse samenleving in het digitale domein vergroten.
Het NCSC ging in januari 2012 van start. Samenwerking van Ministeries
Minstens vijf ministeries zijn bij het NCSC betrokken:
De basis van het centrum is de
Ministerie van Economische Zaken, Landbouw en
samenwerking tussen publieke en private Innovatie (ELI): gezien het economisch belang van
cyberveiligheid.
partijen. In eerste instantie worden diverse
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
overheidspartijen bij elkaar gebracht, (BZK): onder dit ministerie valt het beheer van de eigen
daarna wordt gestreefd naar aansluiting ICT-systemen.

Ministerie van Defensie: cyberveiligheid in relatie met
van steeds meer private partijen en dreigingen van cyberspionage en cyberoorlog.
wetenschapsinstellingen. Op dit manier Ministerie van Buitenlandse Zaken (BZ): cyberveiligheid
houdt niet op bij de landsgrenzen en vereist ook
moet het NCSC zich ontwikkelen tot een internationale samenwerking en afspraken.
uniek samenwerkingsplatform en De AIVD, het Openbaar Ministerie en het KLPD.
expertisecentrum op het gebied van cyberveiligheid. Het Ministerie van Veiligheid en Justitie is
belast met de coördinatie.
Het doel van de nationale strategie van cyberveiligheid is “het versterken van de veiligheid van
de digitale samenleving om daarmee het vertrouwen in het gebruik van ICT door burger,
bedrijfsleven en overheid te verhogen.” Door het beschermen van een open en vrije digitale
samenleving wordt de economie gestimuleerd en welvaart en welzijn verhoogd. “Een goede
rechtsbescherming in het digitale domein wordt gegarandeerd en maatschappelijke
ontwrichting wordt voorkomen dan wel er wordt adequaat opgetreden als het toch mis gaat.”
Om dit doel van NCSC te bereiken is gekozen voor de volgende actielijnen die in een aantal
specifieke acties worden geconcretiseerd.
Integrale aanpak door publieke en private partijen.

Om een integrale en samenhangende aanpak van cyberveiligheid te realiseren is een nieuwe

netwerkgerichte samenwerkingsvorm nodig. Alle relevante partijen moeten op strategisch

niveau zijn vertegenwoordigd. GOVCERT.NL, het Computer Emergency Response Team van
de Nederlandse overheid is per 1 januari 2012 opgenomen in het Nationaal Cyber Security
Centrum (NCSC).
GOVCERT richtte zich op versterking van de informatiebeveiliging binnen de Nederlandse overheid. Het
team monitorde cyberdreigingen, gaf adviezen over ICT-kwetsbaarheden, waarschuwde bij cyberdreigingen
en ondersteunde overheidsorganisaties bij de afhandeling van ICT-gerelateerde incidenten.
Actuele dreigingen risicoanalyses.

Het versterken van cyberveiligheid begint met inzicht in kwetsbaarheden en dreigingen. Het
NCSC brengt kennis en informatie van (inter)nationale publieke en private organisaties
bijeen en analyseert deze. Cyberrisico’s worden in kaart gebracht en er worden capaciteiten
geïdentificeerd die versterkt moeten worden om dreigingen te voorkomen en op
verstoringen te kunnen reageren.
Weerbaarheid tegen ICT-verstoringen en cyberaanvallen
Om ICT-producten en -diensten veilig te kunnen gebruiken worden nieuwe regelgeving
voorgesteld met betrekking tot de verantwoordelijkheid van telecombedrijven voor de
continuïteit van vitale telecommunicatie-infrastructuur. De overheid stimuleert het gebruik
van de gangbare minimale ICT-beveiligingsstandaarden op basis van good practices. Een
belangrijke prioriteit daarbij is het vergroten van de weerbaarheid van de overheid zelf:
informatiebeveiliging en voorkoming van (digitale) spionage.
Reactiecapaciteit om ICT-verstoringen en cyberaanvallen
De NCSC wil het vermogen om ICT-verstoringen en cyberaanvallen snel en effectief te
bestrijden vergroten. Daarvoor wordt een Nationaal Crisisplan ICT opgesteld, inclusief een
oefenplan. In crisissituaties adviseert de ICT Response Board (IRB) over maatregelen om
grootschalige ICT-verstoringen tegen te gaan of te bestrijden.
Opsporen en vervolgen van cybercriminaliteit.
Om veelal grensoverschrijdende cybercriminaliteit te bestrijden, wordt de benodigde
expertise aangetrokken worden specialisten aangemoedigd hun expertise met elkaar te
delen.
Stimuleren van onderzoek en onderwijs over vraagstukken van cyberveiligheid.
De overheid stimuleert wetenschappelijk en toegepast onderzoek naar veiligheidsproblemen
en -oplossingen. Bestaande onderzoeksprogramma’s worden beter op elkaar afgestemd.
Het NCSC kan haar doelstellingen en actielijnen alleen realiseren wanneer het kan beschikken
over voldoende betrouwbare informatie over alle relevante cyberaan�vallen. Daarom zouden
eigenaren/beheerders van systemen die voor de samen�leving van vitaal belang zijn, verplicht
moeten worden om veiligheids�incidenten te melden in plaats van onder de pet te houden. Dit

uitgangspunt is niet omstre�den, maar wel de vraag wat sectoren van ‘vitaal belang’ zijn
waarvoor zo’n meld�plicht (security breach notification) zou moeten gelden.
Het NCSC moet niet alleen goed geïnformeerd zijn, maar zou ook over voldoende middelen
moeten beschikken om in te grijpen en te ondersteunen daar waar dat nodig is. Als een
cyberaanval te groot is om zelf op te lossen moeten bedrijven en instellingen een alarmcentrale
kunnen bellen die hen helpt om de digitale brand te blussen. Zo’n digitale brandweer moet �
zoals �cryptoron� van Fox-it zei � daadwerkelijk achter de toetsenborden gaan zitten van die
organisatie, om de hacker zo snel mogelijk buiten te sluiten en ervoor te zorgen dat de
continu�teit van de dienstverlening van die vitale organisatie niet in gevaar komt. De
inter�ventiemogelijkheden van het NCSC zijn nog beperkt en de vraag is hoe groot de
slagkracht van de digitale brandweer zal moeten zijn.
Digitale huiszoeking — Politieel hackrecht

Internationaal opererende cybercriminelen zijn de politie en justitie meestal te slim en te snel
af. Om dit te veranderen stelde minister Opstelten van Veiligheid en Justitie in oktober 2012
voor om politie en justitie vergaande bevoegdheden te geven om in te breken op de computers
van cybercriminelen. De politie zou de bevoegdheid krijgen om heimelijk software te installeren
op de computers van verdachten van ernstige misdrijven. Op die manier kunnen hun
computers op afstand worden doorzocht, ongeacht in welk land die staan.
De minister stelde voor om ook het helen van gestolen digitale

informatie —zoals persoons- of creditcardgegevens— strafbaar te
stellen. In het verleden kon de politie alleen maar in actie komen als
er een aankoop werd gedaan met gestolen creditcards of als er
aantoonbaar misbruik werd gemaakt van gestolen persoonsgegevens.
Minister Ivo Opstelten
In dit voorstel wordt ook het in bezit hebben, overdragen en kopen
van dergelijke gegevens strafbaar gesteld. Daarom zou de politie de bevoegdheid moeten
krijgen om gestolen digitale informatie die op computers van criminelen staan op afstand te
vernietigen of ontoegankelijk te maken. Agenten moeten dus kunnen inbreken op servers
waarmee cyberaanvallen worden uitgevoerd.
Met deze speciale bevoegdheden wordt het team High Tech Crime van de Nationale Recherche
in staat gesteld om met betere (hoewel geen gelijke) wapens de georganiseerde
cybercriminaliteit effectief te bestrijden. Het overheid was zeer zwak toegerust om de
technologische ontwikkelingen bij te houden en een dam op te werpen tegen cybercriminaliteit.
De minister wil een wettelijk kader scheppen dat een einde maakt aan een situatie die al vaker
werd omschreven als het wilde westen, waarin de politie en justitie maar wat doen, zonder dat

daar duidelijke rechtsregels voor zijn. In het uiteindelijke wetsvoorstel gelden strikte
voorwaarden voor het toepassen van de nieuwe bevoegdheid om terug te hacken, zoals een
voorafgaande rechterlijke toetsing, certificering van de software die wordt gebruikt en de
logging van gegevens [Ministerie van Veiligheid en Justitie, 1.5.13].
Aan deze voorstellen zijn echter ook risico’s verbonden die niet verzwegen mogen worden en
waarvoor wegen gezocht moeten worden om deze zo klein mogelijk te houden. Ik vat die
risico’s puntsgewijs samen.
a. Ongevraagd opereren in buitenland

Zowel conventionele als cybercriminelen maken behendig gebruik van het internet en van
mobiele communicatie. Zij leggen hun plannen en gestolen digitale waren niet vast op een
computer die bij hen thuis op de werkkamer staat. Criminelen verplaatsen hun gegevens
vliegensvlug over het internationale internet en zetten deze het liefst op een goed
versleuteld computernetwerk in een ander land dan waarin zij wonen. De politie kan alleen
op eigen grondgebied vrijelijk haar recherchewerk verrichten. Natuurlijk kunnen politie en
justitie een internationaal rechtshulpverzoek indienen, maar meestal neemt dat te veel tijd
in beslag. De criminelen hebben dan allang de gezochte informatie naar een ver land
verplaatst.
In cyberspace is het territorialiteitsbeginsel vervaagt omdat het niet kan worden toegepast
als de exacte locatie van de computersystemen van cybercriminelen onduidelijk is en
belastende gegevens versnipperd worden opgeslagen op verschillend grondgebied
(jurisdicties). Door het internationale karakter van computercriminaliteit is er behoefte aan
versterking van de bevoegdheden tot grensoverschrijdende toegang tot gegevens. Ook
zonder deze bevoegdheden verschaffen opsporingsdiensten van diverse landen zich in de
praktijk wel degelijk toegang tot gegevens die zijn opgeslagen op computersystemen die
zich op het grondgebied van andere staten bevinden [Ministerie van Veiligheid en Justitie,
1.5.13, p. 35].
b. Privacy
De privacy van burgers wordt in eerste instantie gewaarborgd doordat de rechter-
commissaris een machtiging moet geven voordat opsporingsambtenaren of de officier van
justitie op een computer van een verdachte mogen inbreken. Die machtiging mag alleen
worden gegeven bij misdrijven van “een zekere ernst” — het moet gaan om een misdaad
die een ernstige inbreuk op de rechtsorde oplevert. Op het misdrijf waarvan iemand wordt
verdacht moet ten minste een maximale gevangenisstraf van vier jaar staan. Uiteraard is dit
minimum voor discussie vatbaar. Sommige juristen en juridisch onderlegde politici vinden

die vier jaar veel te laag.
Het inbreken in een computer is iets anders dan het verrichten van een huiszoeking of het
afluisteren van een telefoon. Een huiszoeking is meestal eenmalig en is bij de verdachte
direct bekend. Bij het aftappen van telefoons worden gesprekken afgeluisterd tussen een
persoon die van een strafbaar feit verdacht wordt en telkens één onverdacht ander persoon.
Als men inbreekt op een computer zijn daar alle communicaties (e-mail, VoIP, chatten,
sociale media, wifi, VoIP) te vinden die een verdachte had of heeft met talloze onverdachte
anderen. Computerbreuk heeft dus veel verdergaande gevolgen dan een huiszoeking of een
telefoontap.
Notificatieplicht
De notificatieplicht — ex artikel 126bb Sv.— houdt in dat de Officier van Justitie op een bepaald moment,
wanneer het onderzoek dit toelaat, de verdachte wiens telefoon is getapt hiervan op de hoogte wordt
gesteld.
Onderzoek wijst echter uit dat deze plicht al op grote schaal wordt overtreden.[Beijer 2004]. Overtredingen
van deze notificatieplicht worden niet opgenomen in het dossier of andere rapportages. Daarom zijn er
geen gevolgen voor het niet naleven van dit artikel en kan van een echte waarborg dus niet worden
gesproken.
Bovendien kent de Wet BOB ook een wettelijke ontsnappingsmogelijkheid, die is gecre�erd voor het
Openbaar Ministerie. Artikel 126dd Sv, sluit de notificatieplicht uit indien het verkregen bewijs door de
telefoontap nog gebruikt kan worden in een ander onderzoek. De wetgever laat hierbij een ruime
interpretatie van het artikel toe [Tempelman 2010].
De Electronic Frontier Foundation (EFF) gaf een verklaring uit waarin zij het hackplan van
Opstelten een schandalig voorstel noemde. “Dit voorstel laat de Nederlandse politie directe
aanvallen tegen internationale clouddiensten uitvoeren. Het laat de Nederlandse politie
exploits en malware tegen privacysystemen zoals het Tor-netwerk gebruiken, waardoor
honderduizenden Tor-gebruikers in gevaar worden gebracht. Samengevat, het laat de
Nederlandse politie cyberoorlog-methodes gebruiken om Nederlandse wetgeving voor
iedereen te laten gelden, waar ze ook wonen.”
De burgerrechtenbeweging vreest dat het voorstel van Opstelten een domino-effect zal
krijgen. Hoe zou de wereld er uitzien als de politie van elk land zou mogen inbreken in
computers in andere landen om haar eigen nationale wetgeving met bruut geweld op te
leggen? “We zouden een golf van aanvallen overal ter wereld zien wegens godslastering,
haatzaaierij, belastingontduiking, het bevorderen van homoseksualiteit, het bekritiseren van
staatshoofden zoals de koning van Thailand of Ataturk, of meningsverschillen over
copyrightschending.” Dat zou een bedreiging zijn voor de stabiliteit en bruikbaarheid van het
hele internet.

c. Boemerang
Als de Nederlandse politie en justitie beginnen om servers in het buitenland te hacken
zonder rechtshulpverzoek, dan zouden andere landen dat ook in Nederland kunnen doen.
Stel dat de overheden van Iran of China ook zouden besluiten om in te breken op in
Nederland gelokaliseerde computernetwerken om hun eigen criminelen en dissidenten op te
sporen en te achtervolgen. Wat zou de Nederlandse minister van Veiligheid en Justitie daar
dan nog tegen kunnen inbrengen?
d. Omkeerbaarheid
Politie mag dus spyware installeren op computers van zware criminelen. Maar deze spyware
kan vervolgens ook weer door criminelen worden gehackt, zoals uit een onderzoek van de
Chaos Computer Club in Duitsland is gebleken [Van Daalen 2012].
De Nederlandse politie krijgt in het wetsvoorstel de bevoegdheid zelf met (gecertificeerde)

spyware in cyberspace te opereren. Maar internetters verwachten van anti-virus software
dat deze hen tegen alle malware beschermd. Fabricanten van anti-virus software die een
gecalculeerde uitzondering maken voor bepaalde typen —door de overheid gebruikte—
spyware zullen zich echter snel uit de markt prijzen. Zelfbewuste netburgers zullen op zoek
gaan naar alternatieven waarmee zij zich tegen élke vorm van digitale spionage (en dus ook
tegen policeware) kunnen beschermen.
De overheid krijgt er op deze wijze Legitimatie legende

Om de vergaande bevoegdheden van de politie te
belang bij om de kwetsbaarheden van
legitimeren wordt verwezen naar de noodzaak om
onze hard- en software niet te verspreiding van kinderporno tegen te gaan. Dat is veel
publiceren en niet te repareren. Om de deskundigen in het verkeerde keelgat geschoten. Een

voorbeeld daarvan is Bart Jacobs, hoogleraar
effectiviteit van de policeware te computerbeveiliging in Nijmegen:
waarborgen zal de overheid deze “Kinderporno wordt als argument misbruikt wordt om
kwetsbaarheden geheim houden om ze absurde bevoegdheden te introduceren. Net zoals tien jaar
geleden �terrorisme� te pas en te onpas gebruikt werd.
te exploiteren. “Dit staat op gespannen
(�) De minister zet de noodzakelijke samenwerking met de
boet met het algemeen belang van een hackersgemeenschap onder druk zet door ethische hackers
te achtervolgen. Het cybersecuritybeleid dreigt te
betrouwbare digitale infrastructuur”
mislukken; de minister beweegt zich als een olifant in de
[Jacobs 2012]. porseleinkast” [NRC, 6.12.12].
Kortom: het voorstel van Opstelten is ondoordacht, gaat verontrustend ver en is mogelijk in
strijd met de Europese mensenrechtenwetgeving. Een dergelijke wetgeving zou het internet
niet veiliger maken. Integendeel, de voorgestelde wetgeving maakt —zoals de EFF terecht
concludeert— het internet tot een nog gevaarlijker plek.
In antwoord op Kamervragen van D66 ging de minister nader in op het hacken van servers

door de politie terwijl de ‘terughackwet’ nog niet door de Kamer is behandeld. Momenteel heeft
de politiek geen wettelijke bevoegdheid om te hacken. Maar volgens de minister is het hacken
van de Blackshade-servers toch gedekt door de huidige wet. Hij verwijst daarbij naar artikel
125i van het Wetboek van Strafrecht waarin de bevoedheid wordt geregeld tot
“het doorzoeken van een plaats ter vastlegging van gegevens die op deze plaats op een gegevensdrager zijn
opgedragen of vastgelegd”
Dit artikel slaat op het fysiek binnentreden en doorzoeken van een plaats en eventueel in
beslagnemen van computerhardware. Hacken gebeurt echter op afstand en heimelijk.
Enerzijds erkent de minister — in zijn beantwoording van Kamervragen over gebruik van
spyware door de politie— dat “een heimelijke doorzoeking van gegevensdragers” binnen de
wettelijke kaders niet is toegestaan [Antwoorden Kamervragen, 6.10.14]. Anderzijds rekt hij
een speciale opsporingsbevoegdheid zo ver op om nu nog illegale acties van politieautoriteiten
te dekken. Voor juristen is deze spagaat zorgwekkend [Computerworld, 30.20.14].
Team High Tech Crime (THTC)

Primaire probleem bij de bestrijding van cybercrime is gebrek aan kennis bij politie en justitie
[Stol 2004:74; Stol e.a. 2012:25] Technologische ontwikkelingen gaan snel - lastig om
criminelen voor te blijven - we moeten harder lopen. Politie en justitie zullen meer moeten
investeren om bij te blijven, vooral in digitale recherche.
Het Team High Tech Crime valt onder de dienst Landelijke Recherche binnen de Landelijke
Eenheid(voorheen de KLPD).
Kreeg meer cybercops [in 2013 van 30 naar 60), maar kan volgens planning in 2014 nog
steeds slechts twintig zaken behandelen. Maar niet meer mensen: maar intelligentie en een
intelligent netwerk op zetten.
Minister Opstelten (veiligheid en Justitie) belooft een forse toename van het aantal cybercrime
onderzoeken. In 2018 moeten dat er al 360 zijn. Voor 2015 wordt voorzien in 200 onderzoeken
[Telegraaf, 16.9.14].
Er zijn nu permanent twee FBI-agenten bij de KLPD gestationeerd.
Nu 60 cybercops op werken nu 5.000 mensen bij KLPD - dus 1% van totaal.
Extra cybercops? Zoeken naar grenzen van de wet, een wet die gemaakt is toen er nog geen
internet was.

Internet Research Netwerk (iRN)

Handmatig, versnipperd internetonderzoek door instellingen van openbare orde en veiligheid
(OOV) is niet alleen zeer arbeidsintensief, maar biedt ook onvoldoende kwaliteit en resultaten.
Daarvoor is de hoeveelheid informatie op internet en mobiele communicatie gewoon te snel, te
omvangrijk en te complex geworden. Er is een toenemende behoefte aan software voor
geautomatiseerd en intelligent internetonderzoek dat in staat is om in cyberspace de digitale
sporen van een misdaad te kunnen achterhalen en deze forensisch geborgd te documenteren.
Het iRN is een provider voor politie en andere overheidsdiensten die onderzoek willen doen op
internet zonder hun visitekaartje achter te laten. Het netwerk schermt de identiteit af en zorgt
ervoor dat onderzoekers snel aan relevante informatie komen door dwarsverbanden te leggen
en gegegevens te bundelen. Het iRN slaat onderzoeksactiviteiten op forensisch verantwoorde
wijze op zodat opsporingsinformatie toetsbaar is (de gebruikte bronnen worden op betrouwbare
wijze vastgelegd en kunnen worden gebruikt als bewijsmateriaal in opsporingsonderzoeken of
voor contra-expertise).
Op basis van de big data technologie voor onderzoek Voor een dubbeltje op de eerste rij
Alle software van iRN is open source en dus
van grote hoeveelheden informatie ontwikkelde iRN
vrij van licentiekosten. Alle systemen zijn
volgens de scrum methode toepassingen voor internet goed schaalbaar zonder hoge bijkomende
kosten.
onderzoek. Deze iColumbo technologie wordt
kosteloos gedeeld met andere overheidsdiensten. iRN voorziet gebruikers bij alle aangesloten
overheidsdiensten voortdurend van nieuwe en verbeterde toepassingen en kennis.
FinFisher in Nederland
Politiespionnen en waakhonden
Ook in Nederland wordt gebruik gemaakt van de spyware FinFisher. In Nederland staan
minstens twee Command & Control servers die de spyware aansturen [Citizens Lab, 13.3.13].
Beide servers staan bij de hoster Tilaa in Amsterdam. Door het gebruik van deze hoster leek
het onwaarschijnlijk dat Nederlandse opsporingsdiensten achter deze afluisteroperatie zaten.
Sinds 2008 gebruikt de Nederlandse politie Trojans en spyware om de pc’s van verdachten af te
tappen [BNDeStem, 17.5.09; Webwereld, 19.5.08]. De producent van de omstreden
Bundestrojaner van de Duitse politie, het Keulse bedrijf Digitask, verklapte dat de spyware ook
aan Zwitersland, Oostenrijk en Nederland is verkocht [DW; Webwereld, 12.10.11].
De meest respectabele strafrechtsgeleerden veegden de vloer aan met de legaliteit van de

gebruikte afluistermethode.:
“De wet schrijft voor dat burgers moeten weten welke opsporingsmethoden onder welke omstandigheden

mogen worden gebruikt. Bij bijvoorbeeld telefoontaps is dat wettelijk geregeld. Bij deze vorm nog niet. In
een rechtszaak is het dan ook maar de vraag of zo verkregen bewijslast standhoudt” [Theo de Roos,
hoogleraar straf- en strafprocesrecht aan de Universiteit van Tilburg].
In 2011 werd bekend dat de Unit Interceptie van het Nederlandse KLPD in een “zeer beperkt
aantal gevallen” spyware injecteert op pc’s van verdachten. In een brief aan de Tweede Kamer
verklaarde minister van Veiligheid en Justitie Ivo Opstelten: “De Unit Landelijke Interceptie van
het Korps Landelijke Politiediensten (KLPD) beschikt over software die geïnstalleerd kan worden
op de computer van een verdachte en waarmee ten behoeve van opsporingsdiensten toegang
kan worden verkregen tot die computer en of gegevens daarvan kunnen worden
overgenomen.” Maar de minister verschafte geen informatie over welke specifieke software
opsporingsdiensten beschikken. Dit zou “een onaanvaardbaar risico voor de inzetbaarheid van
die middelen” vormen [Antwoorden op Kamervragen, 13.12.11; Webwereld, 13.12.11].
De slimme waakhond van de vrijheidsrechten van Nederlandse internetburgers, Bits of

Freedom (BoF), ondernam juridische stappen om de politie (KLPD) te dwingen openheid te
geven — met beroep op de Wet Openbaarheid van Bestuur (WOB) — over het gebruik van
spyware door opsporingsdiensten [Webwereld, 8.10.12]. BoF wil weten wat de software is “die
door opsporingsdiensten heimelijk ge�nstalleerd kan worden op een digitaal apparaat van een
verdachte (zoals computers, tablets, mobiele telefoons, routers en printers) en waarmee, al
dan niet op afstand, toegang verkregen kan worden tot dit apparaat, gegevens van dit
apparaat kunnen worden overgenomen en dit apparaat op afstand bestuurd kan worden.” Maar
echte antwoorden werden door de minister niet gegeven.
Met de billen bloot?

Op 7 augustus 2014 verscheen plotseling een enorme hoeveelheid technische en
klanteninformatie van Gamma International, de maker van FinFisher. Duitse
burgerrechtenactivisten keerden het wapen om en bespioneerde het spionagebedrijf. Zeer
vertrouwelijke informatie over de verschillende spionagemodules van FinFisher en over de
clientele van Gamma werden openbaar gemaakt (omvang: 40GB).
Uit de door Wikileaks gelekte documenten blijkt dat in bijna alle landen gebruik gemaakt wordt
van de FinFisher technologie. Ook de Nederlandse politie maakt al sinds 2012 gebruik te maken
van het programma. In de gehackte klantenbestanden werd een versleutelingscode gevonden
die toebehoort aan een lid van de Nationale Eenheid (voorheen: KLPD), de landelijke politie in
Driebergen. De twee licenties lopen van 2012 tot 2015 en zijn geregistreerd met de username
20FEC907. De licenties voor FinSpy en FinSpy Mobile kosten beide €202.200. In totaal
besteedde de Nederlandse politie €2,3 miljoen aan de spionage software van Gamma
[Wikipedia: SpyFiles 4; VK, 8.8.14; Tech Worm, 16.9.14].

Kamerlid Sharon Gesthuizen (SP) stelde een aantal pertinente vragen over het gebruik van
deze omstreden spionagesoftware. Zij wilde van de Minister van Veiligheid en Justitie weten of
de Nederlandse politiek daadwerkelijk gebruik maakt van FinFisher. Het antwoord van Minister
Opstelten liet zich raden. Enerzijds erkent hij dat “de politie beschikt over software die fysiek
ge�nstalleerd kan worden op de computer van een verdachte, waarmee ten behoeve van
opsporingsdiensten toegang kan worden verkregen tot die computer en waarmee gegevens
daarvan kunnen worden overgenomen.”. Anderzijds benadrukt hij dat dit middel alleen mag
worden ingezet voor het opnemen van vertrouwelijke informatie en dat het wettelijk niet is
toegestaan dit middel in te zetten voor “heimelijke doorzoeking van gegevensdragers”.
Over de aard van de gebruikte software wil de minister helemaals niets loslaten. “Het
verstrekken van informatie over welke specifieke software de opsporingsdiensten van de politie
beschikken, testen en gebruiken brengt grote risico�s met zich mee voor de inzetbaarheid van
die middelen. De verwerving van dergelijke middelen vindt bij de politie onder geheimhouding
plaats. Ik kan hier derhalve geen nadere informatie over verstrekken.”
Burgerinitiatieven
1. Meldpunten:
2. Zelfregulatie
3. Burgerinitiatief
Trends in cybercrime
Cijfers en cijferreeksen
Fraude in betalingsverkeer
Sinds 2012 zet zich de dalende trend in fraude in het betalingsverkeer is een populaire
criminele bezigheid. Sinds 2012 vertoont de fraude in het betalingsverkeer een sterke daling.
In het eerste half jaar van 2014 naar het met 34% af ten opzichte van de tweede helft van
2013 [NVB, 24.9.14].
Schade door fraude Schade door fraude Schade als

betalingsverkeerin met internetbankeren gevolg van skimming
in miljoen euro
2012 81,1
2013 33,3
2014 (half jaar) 9,5 2,1 0,64
De belangrijkste fraudecategorie�n in het betalingsverkeer zijn fraude met internetbankieren

en skimming van betaalpassen. Beide categorie�n zijn in de eerste helft van 2014 sterk
afgenomen met resp. 54 procent en 28 procent.

De schade als gevolg van skimming (kopi�ren van magneetstrip van betaalpas) bedroeg in het
piekjaar 2011 nog 38,9 miljoen euro. Daar is nog maar nauwelijks iets van over: 640.000 euro
in de eerste helft van 2014. Door de invoering van het nieuwe pinnen met gebruik van de EMV-
chip in plaats van de magneetstrip is skimming nog maar zeer beperkt mogelijk. Sinds begin
2012 is het in principe onmogelijk om in Europa geld op te nemen met geskimde kaarten. In de
eerste helft van 2014 werden er slechts 1.000 kaarten geskimd.
De fraude met internetbankieren neemt af omdat banken steeds beter in staat zijn om
(pogingen tot) fraude vroegtijdig te detecteren en te voorkomen. Het preventief blokkeren van
buitenlandoverboekingen binnen internetbankieren heeft sterk bijgedragen aan de daling van
de skimmingschade. Door geoblocking wordt de magneetstrip buiten Europa standaard
uitgeschakeld. Sinds 2013 ontstaat vrijwel alleen nog schade door het in niet-EVM landen
skimmen van Nederlandse passen, direct gevolgd door geldopnames.
De meeste schade bij internetbankieren werd veroorzaakt door phishing: 1,7 miljoen euro. Ten
opzichte van de tweede helft van 2013 is dat een daling van 47%. Ook de schade als gevolg
van malware nam fors af met 77% tot 280.000 euro. Samen met het NCSC proberen banken
phishing sites uit de lucht tehalen.
Skimming
Skimming is een vorm van betaalpasfraude. Criminelen kopi�ren ongemerkt de magneetstrip van een
betaalpas en bemachtigen de pincode. Vervolgens maken ze een kopie van de pas waarmee geld wordt
opgenomen en/of betaald in binnen- en buitenland.
Shouldering
Shouldering is het over de schouder meekijken bij het invoeren van de pincode, gevolgd door het stelen van de
pinpas.
Middenstanders als cybercrimineel doelwit
Europa
“Step up the fight against cybercrime and the criminal misuse of the internet by organised crime groups”
[Prioriteit 4 van het EU bebelid t.a.v. georganiseerde en internationale misdaad].
EC3
Zonder ge�nstitutionaliseerde samenwerking tussen de nationale opsporings- en
vervolgingsautoriteiten zal Europa de strijd tegen cybercriminaliteit zeker verliezen.
In september 2010 kondigde de Europese Commissie nieuwe maatregelen aan die ervoor
moeten zorgen dat Europa zich kan verdedigen tegen aanvallen op zijn belangrijkste
informatiesystemen. De nadruk lag daarbij op de aanpak van nieuwe vormen van

computercriminaliteit [Europese Commissie, 30.9.11]. UITWERKEN
Op 11 januari 2013 werd in Den Haag het nieuwe Europees Centrum voor de bestrijding van
cybercriminaliteit (EC3) operationeel. EU-commissaris voor Binnenlandse Zaken Cecilia
Malmstr�m: “Het Europees Centrum voor de bestrijding van cybercriminaliteit is een
belangrijke versterking van de capaciteit van de EU om cybercriminaliteit te bestrijden en een
vrij, open en veilig internet te verdedigen. Cybercriminelen zijn slim en snel in het oppikken
van nieuwe technologie�n voor criminele doeleinden; het Europees Centrum voor de
bestrijding van cybercriminaliteit zal ons helpen slimmer en sneller te worden in het helpen
voorkomen en bestrijden van hun misdrijven” [Europese Commissie, 9.1.13]. Europese
politiekorpsen kunnen steunen op de enorme forensische capaciteit van EC3.
Het EC3 concentreert zich op illegale activiteiten die georganiseerde criminele benden via het
internet uitvoeren, met speciale aandacht voor aanvallen op online bankieren en andere
financi�le activiteiten via het internet, exploitatie van kindermisbruik via het internet en
misdrijven die gericht zijn tegen de kritieke infrastructuur en informatiesystemen in de EU.
Het EC3 stimuleert onderzoek naar cybercriminaliteit en de opbouw van opsporingscapaciteit

bij rechtshandhavingsinstanties, rechters en openbare aanklagers. Het beoordeelt dreigingen,
analyseert tendensen, stelt prognoses op en stuur vroegtijdige waarschuwingen uit. Het EC3
biedt EU-landen operationele ondersteuning en biedt analytische en forensische deskundigheid
van hoog niveau.
Wat doen ze aan ‘high volume, low impact’ misdaad?
Europol — J-CAT
Cybercrime experts van politiediensten uit de hele wereld komen samen in een nieuw orgaan:
de Joint Cybercrime Action Taskforce (J-CAT) die op jacht gaan naar de slimste online
criminelen. Het team is gebaseerd in het European Cybercrime Centre (EC3) bij Europol
Het team co�rdineert onderzoek naar grootschalige dreigingen, inclusief virussen die
inloggegeven van banken stelen en grote criminelen — met name degenen die crimeware
verhandelen en persoonlijke data verkopen op ondergrondse webfora.
Eurojust — gerechtelijke samenwerking

Eurojust is een orgaan van de Europese Unie dat in 2002 werd opgericht en dat gevestigd is in
Den Haag. Het ondersteunt de co�rdinatie en samenwerking tussen de justiti�le instanties
van de lidstaten in de strijd tegen grensoverschrijdende zware criminaliteit, zoals
computercriminaliteit, fraude, corruptie, witwassen van geld en milieucriminaliteit.

Daarnaast moet Eurojust bijdragen aan het oplossen van jurisdictiegeschillen in gevallen waarin
verscheidene nationale autoriteiten bevoegd zijn in een specifieke zaak een
opsporingsonderzoek of vervolging in te stellen. Het moet de uitvoering van internationale
justiti�le instrumenten, zoals het Europees Aanhoudingsbevel, vergemakkelijken door het
instellen van gemeenschappelijke onderzoeksteams en het financieren van de operationele
middelen van die teams.
Via Eurojust kunnen de nationale autoriteiten informatie uitwisselen, wederzijdse rechtshulp

bieden en personen die verhoord moeten worden, uitleveren. Eurojust voldoet aan verzoeken
om bijstand van bevoegde nationale autoriteiten van de lidstaten. Omgekeerd kan Eurojust de
lidstaten verzoeken om naar bepaalde feiten een onderzoek of vervolging in te stellen.
Per EU-land is een openbare aanklager, rechter of politieambtenaar in het agentschap

vertegenwoordigd.
De taak van Eurojust om de effectiviteit en efficiency te verbeteren van de nationale

opsporings- en vervolgingsautoriteiten in de strijd tegen ernstige grensoverschrijdende en
georganiseerde misdaad en om criminelen snel en doeltreffend voor het gerecht te brengen.
Europese wetgeving
Om computercriminaliteit beter te bestrijden vonden de Europese Commissie en het Europese
Parlement het nodig computerdelicten binnen de EU te harmoniseren en maximale
gevangenisstraffen voor te schrijven. In het bijzonder maken zij zich zorgen over de opkomst
van botnets, de economische schade dat cybercrime kan veroorzaken en de ontwrichtende
gevolgen die aanvallen op vitale IT infrastructuren kunnen hebben.
De Richtlijn over aanvallen op informatiesystemen van 12 augustus 2013 moest binnen twee
jaar in de nationale wetgeving worden ge�mplementeerd. De richtlijn betreft vooral het
materieel strafrecht. Dat zijn wetten ten aanzien van het functioneren van informatiesystemen
waarbij het gaat om vertrouwelijkheid van gegevens, de integriteit van informatiesystemen en
de beschikbaarheid van gegevens, programma’s en diensten. In de richtlijn wordt benadrukt
dat ge�nfecteerde computersystemen die samen een botnet vormen veel schade berokkenen
binnen de lidstaten.
“De richtlijn is er onder meer op gericht strafrechtelijke straffen in te voeren voor de fase waar de �botnet�
tot stand wordt gebracht, namelijk wanneer controle op afstand over een aanzienlijk aantal computers tot
stand wordt gebracht door deze door middel van gerichte cyberaanvallen te besmetten met kwaadaardige
software. (...) De lidstaten kunnen bepalen wat overeenkomstig hun nationaal recht en hun nationale
praktijk onder ernstige schade wordt verstaan, zoals de ontregeling van systeemdiensten van groot openbaar
nut, het veroorzaken van aanzienlijke financi�le schade of het verlies van persoonsgegevens of gevoelige
informatie” [EU Richtlijn, punt 5].

De Europese Commissie wil botnets bestrijden door de strafbare gedragingen te harmoniseren

en minimale straffen voor te schrijven. Voor delicten zoals computervredebreuk (hacking),
gegevensaantasting (malware) en DDoS-aanvallen wordt een maximale gevangenisstraf
voorgeschreven van tenminste 2 jaar.
Artikel 9 van de Richtlijn schrijft een strafverzwaring van een maximale gevangenisstraf van
ten minste vijf jaar voor bij computerdelicten die (i) in georganiseerd verband worden
gepleegd, (ii) ernstige schade veroorzaken (met bijvoorbeeld een botnet) of (iii) gericht zijn
tegen tegen vitale infrastructuren.
Nomadische gedachten
Leven met onzekerheden

Alle beschrijvingen en analyses van cybercriminaliteit zijn fundamenteel onnauwkeurig. Het ligt
in de aard van iedere crimineel om niet alleen de sporen van zijn of haar misdaad te wissen,
maar om daarover ook te zwijgen. Deze heimelijkheid is noodzakelijk om opsporing en
strafvervolging te vermijden (verkleinen van de pakkans).
Technologiebedrijven praten niet graag openlijk over de kwetsbaarheden van de apparatuur en

software die zij verkopen. Aanvallen op computersystemen en netwerken van ondernemingen
worden meestal niet gerapporteerd uit angst dat hierdoor het vertrouwen aandeelhouders en
consumenten kan afbreken [Webwereld, 2.3.13]. Beveilingsbedrijven doen er meestal het
zwijgen toe als weer eens blijkt dat zij de digitale veiligheid van organisaties niet kunnen
garanderen. De burgers die slachtoffer worden van een cybermisdaad doen vaak nog steeds
geen aangifte bij de politie [Warner 2014].
Mensen die een misdaad in of via cyberspace voorbereiden of uitvoeren vertellen ons nooit
precies met welke methode zij zichzelf illegaal verrijken en welke instrumenten zij daarvoor
gebruiken. Elke cybercrime is omringd met een dikke mist van geheimhouding.
Daarom is het niet makkelijk om goede adviezen te geven aan burgers die zichzelf in
cyberspace tegen criminelen willen beschermen en om effectieve methoden te ontwikkelen om
cybercriminelen de pas af te snijden en hen strafrechtelijk te vervolgen.
Kwetsbare digitale boezem

We zijn digitaal kwetsbaar geworden tot op de boezem. Overal waar we gaan, omringen we ons
met slimme apparaten: de multifunctionele slimme telefoons, de tablets en laptops. We dragen
ze dicht op ons lijf en zijn altijd binnen bereik en bereikbaar. We gebruiken ze om te werken en
te leren, om contacten te onderhouden en conflicten uit te vechten, om boodschappen te doen

en vakanties te boeken, om bankzaken te regelen en om te spelen. Er is geen geen dagelijkse

handeling meer waarvoor we deze apparaten niet gebruiken.
We hebben gezien hoe fundamenteel kwetsbaar de huidige informatie- en

communicatietechnologiën zijn. De omvang en complexiteit van de software waarmee we
werken, zijn zo groot, dat er altijd kwetsbaarheden of veiligheidslekken zijn die door criminelen
kunnen worden uitgebuit. Softwareproducenten zijn meer geïnteresseerd in de winsten die zij
met nieuwe producten kunnen realiseren dan in de veiligheid van hun klanten. We hebben ook
gezien dat in de keten van kwetsbaarheden de mensen zelf de zwakste schakel vormen.
Werknemers zijn soms onzorgvuldig, goedgelovig en makkelijk manipuleerbaar. Vaak zijn zij
ook het slachtoffer van een geraffineerde inbraak in een zeer persoonlijk digitaal apparaat.
Inbreken in de digitale apparaten van individuele burgers biedt niet allen toegang tot hun eigen
bankrekening. Het biedt ook toegang tot de ict-systemen van het bedrijf of de instelling waar
het doelwit werkt. Het infiltreren en manipuleren van smartphones en mobiele
communicatiesystemen is bijna kinderlijk eenvoudig. In de bestrijding van de misdaad in of
met behulp van cyberspace krijgt dit een steeds groter gewicht.
Afbakening van begrip

Internet en mobiele communicatie hebben ons niet alleen grote zegeningen gebracht, maar ook
nieuwe risico’s en actuele bedreigingen. Naast cybercriminaliteit worden we bedreigd door
cybervandalisme van verveelde pubers, door cyberterrorisme van nationalistisch of religieus
ge�nspireerde gewelddadige groepen en door cyberoorlogen tussen nationale staten.
Zij maken gebruik van vergelijkbare en meestal identieke instrumenten en methodieken. Maar
zij verschillen aanzienlijk in hun doelstelling, werkwijze, aard van de actoren en institutionele
verankering.
In de volgende tabel zijn deze verschillen schematisch geordend.
Cyberconflicten
Doel Methode
CyberVandalisme Verdrijven van verveling, irriteren Het vandaliseren van willekeurige sites en servers
om aandacht. Geen “voor de lol” of uit nieuwsgierigheid: “kijken of het
maatschappelijk, politiek of kan”.
financieel doel.
CyberActivisme Articuleren van maatschappelijke Activistische propaganda: aandacht vragen voor

belangen en van politieke maatschappelijke problemen middels het tijdelijk
doelstellingen; aanklagen van blokkeren van de toegang tot sites en servers
exploiterende, repressieve en (denial-of-service aanvallen als virtuele sit-in) en het
discriminerende machthebbers. onthoofden van sites (vervangen van homepage door

eigen mededeling). Hacktivisten gebruiken meestal

kortdurende denial-of-service aanvallen of publiceren
gevoelige informatie van hun doelwitten als vorm
van politiek protest. Meer radicale groepen zouden
echter ook meer systematische effecten kunnen
bewerkstellingen, zoals het ontregelen van financiële
netwerken. Hun cyberacties kunnen zelfs per ongeluk
gevolgen hebben die geïnterpreteerd worden als een
door een staat gesteunde aanval.
CyberCriminaliteit Illegale zelfverrijking: Opportunistisch, niet ideologisch, niet strategisch:

geldkopperij door diefstal, inbreken, pakken wat je kan en wegwezen (hit and
oplichting, afpersing en fraude. run). Cybercriminelen kopen en verkopen op de
zwarte markt instrumenten waarmee kan worden
ingebroken op vitale infrastructuren en die
gemakkelijk in handen kunnen vallen van agressieve
staten, paramilitaire of terroristische organisaties.
CyberTerrorisme Vijanden van de juiste leer zoveel Ideologisch (politiek, religieus, nationalistisch etc.)
mogelijk schade berokkenen: gemotiveerd niet op geldelijk winst gericht.
angst zaaien. Spectaculaire cyberaanslagen op als vijandig
gedefinieerde doelwitten.
Terroristische organisaties hebben steeds meer
belangstelling voor de ontwikkeling van offensieve
cybercapaciteiten. Hun slagkracht is beperkt door de
beschikbare intellectuele en organisationele bronnen
en, en door concurrerende prioriteiten.
CyberSpionage Verwerven van informatie over Clandestien penetreren in vijandige

vijandige of potentieel vijandige informatiesystemen om daar heimelijk
strijdkrachten. Economische of informatiebestanden te vervreemden of
bedrijfsspionage is gericht op het communicaties af te luisteren.
stelen intellectueel eigendom en
bedrijfsgeheimen van
concurrerende ondernemingen.
CyberOorlog Vernietigen of beschadigen van Strategisch en niet opportunistisch: doelwitten

vitale systemen van vijandige bepalen, cyberwapens in stelling brengen, gericht
staten met offensieve aanvallen, monitoren van effecten.
cyberwapens.
Aan deze opsomming zou nog «hacken» worden toegevoegd. De meeste ethische of white hat
hackers inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen
en netwerken. Hun doel is het aantonen —middels volledige of verantwoordelijke
bekendmaking— dat deze systemen en netwerken inadequaat beveiligd zijn en dat het
mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven als
‘binnendringen omdat het kan’ en ’lekken zoeken omdat er lekken zijn’, zonder onnodige
schade aan te richten. Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste
cyberveiligheid.
Internet der dingen — cyberspace is geen aparte ruimte

Cyberspace werd ooit gezien als louter fictie, als een “consen�su�e�le hallucinatie” [William
Gibson]. Tegenwoordig is cyberspace een vitale virtuele wer�ke�lijk�heid die miljarden
mensen met online computers en apparaten voor mobiele communicatie omvat. Alles wat op
code werkt en een verbinding naar een digitaal netwerk heeft, is onderdeel van cy�ber�space.
Cyberspace is het ge�heel van virtuele werelden die bestaan wanneer we via internet en
mobiele communicatie informatie uitwisselen en met elkaar communiceren. Het evolueert
steeds meer tot eeh internet der dingen. Productiemachines, financiële operaties,
vervoerstechnieken en slimme apparaten worden in digitale netwerken met elkaar
ver�bon�den. De meest uiteenlopende apparaten en installaties worden door computers
aangestuurd en gecontroleerd: scanners en printers; beveiligingscamera’s en liften; GPS en
satellieten; auto’s en jachtvliegtuigen; banknetwerken en beurssystemen; treinen,
elektrici�teits�centrales, ultracentrifuges.
Met rasse schreden treden we binnen in het «internet van alles». Daarin dragen we steeds
meer slimme apparaten met ons mee. Dat zijn de smart wearables zoals mobiele telefoons,
Google Glass, slimme horloges en fitniss trackers. Het zijn sensoren die op elk moment al onze
activiteiten vastleggen. Waar we zijn (GPS-co�rdinaten) en met wie we contact onderhouden,
wat we met wie communiceren, welke transacties we plegen. Fitness sensoren registeren de
stappen die ik neem, de afstand die ik afleg, de calorie�n die ik gebruik en mijn hartslag.
Er komen steeds meer producten voor onze ‘slimme huizen’ die ontworpen zijn voor
communicatie op afstand en controle van apparaten in onze huizen. Elk van deze apparaten
kan voor criminelen een ingang worden in onze systemen.
Lagen en protocollen van slimme apparaten

Slimme apparaten zijn verbonden aan het internet. Daar worden de data die we via onze slimme apparaten
versturen en ontvangen opgeslagen. Voordat ze op het internet belanden, passeren de data verschillende
lagen:
1. Datalinklaag
De laag waarin de slimme apparaten data versturen en delen. In deze laag worden data tussen
apparaten gedeeld via Wi-Fi, Ethernet, RFID en Bluetooth protocollen.
2. Router laag � ook wel: Smart Hub layer
Een router is een apparaat dat al je andere slimme apparaten aan het internet verbindt.
3. Sessie laag
In deze laagworden de gegeves verstuurd en ontvangen wannner je programa’s gebruikt. Hier worden
de gegevens die via deze programm’s worden verstuurd en ontvangen beheerd. In deze laag worden
vooral de meer bekende profielen HTTP en HTTPS gebruikt.
4. Internet laag � ook wel: Cloud layer.
Dit is waar de data uiteindelijk belanden.
Op elk van deze lagen kan een criminele aanval worden gedaan.
De exlosieve groei van het «internet der dingen» maakt onze samenleving gevoeliger voor

ontwrichtende en vernietigende digitale aanvalswapens.
Overheidsbeleid
Een verstandige overheid versterkt de maatschappelijke weerbaarheid en het herstelvermogen
van onze computersystemen en mobiele netwerken. Zij stimuleert zelforganisatie van
internettende burgers en stuurt aan op decentralisatie van heel grote en dus erg kwetsbare
instellingen, productie-installaties en databanken.
De lastigste opgave is om een beleid te voeren dat zowel onze veiligheid als onze vrijheden in
cyberspace waarborgt. Kunnen we een acceptabel niveau van digitale veiligheid tot stand
brengen waardoor de grootste risico’s in het gevirtualiseerde en gemobiliseerde verkeer zo ver
mogelijk worden geminimaliseerd? Kunnen we onze virtuele vrijheden kunnen behouden en
versterken?
Daarbij zijn in ieder geval drie vrijheidsrechten in het geding:
de vrijheid om ook online onze mening te uiten, zonder daarmee diezelfde vrijheid van
anderen te ontzeggen (door te dreigen met geweld of door discriminatie van bepaalde
bevolkingsgroepen).
de vrijheid om anoniem of pseudoniem met cyberburgers te communiceren en te
interacteren.
de vrijheid om ons in virtuele netwerken te associëren en activiteiten te coördineren.
Deze drie vrijheden kunnen ook als rechten worden geformuleerd en in een grondrecht worden
gebundeld. Dat grondrecht zou als volgt kunnen luiden: internet en mobiele communicatie
zijn universele diensten waartoe alle wereldburgers vrijelijk toegang toe dienen te
hebben zolang zij diezelfde vrijheid van andere burgers niet aantasten. Internet is een
netwerk dat grondwettelijk erkent en afgeschermd dient te worden. Het digitale grondrecht zou
op dezelfde wijze geregeld moeten worden als in de analoge wereld. In de analoge wereld van
formeel democratische rechsstaten ben je vrij om je te bewegen in elke openbare ruimte. Dat
vrijheidsrecht zou ook moeten gelden in de virtuele openbare ruimte, in cyberspace.
Bronnen over CyberCrime
1. Informatiebronnen over CyberCrime (SocioSite)
2. “419” Scam
3. Ale, Ben [2009]

Risk: An Introduction. The Concepts of Risk, Danger and Chance.

London: Routledge.
4. Aljazeera
[04.01.2011] Cybercrime rampant in Russia
[04.01.2011] Cybercrime: Click away from mugging
[03.10.2012] Filipinos protest tough new cyber law
[09.10.2012] Philippine court suspends anti-cybercrime law
[12.12.2012] Facebook helps FBI foil $850m-cybercrime ring
[15.11.2013] Russia enacts restrictive new cyber-law
[17.06.2013] The dark world of cybercrime
[03.06.2014] US hunts Russian over $100m cybercrime
[07.08.2014] Russian hackers 'stole 1.2 billion passwords'
[28.08.2014] Cracking down on cybercrime in Ivory Coast
5. Anderson, Ross
[2001/8] Security Engineering: A Guide to Building Dependable Distributed Systems
New York: John Wiley & Sons.
[2013] Why quantum computing is hard - and quantum cryptography is not provably secure - with Robert
Brady
6. Attrition.org
Een groep die ‘Web defacements’ en andere typen cybermisdaad in de gaten houdt.
7. Aycock, John
[2008] Reading and Modifying Code
[2010] Computer Viruses and Malware
Springer (2006).
[2010] Viruses and Malware.
In: Handbook of Information and Communication Security. pp. 747-769. Springer.
[2013] Computer Science Cologquium [47:38]
8. Balthrop, J. / Forrest, S. / Newman, M.E.J. / Williamson, M.N. [2004]

Technological Networks and the Spread of Computer Viruses.
In: Science, 304(5670): 527-529.
9. Barford, Paul / Yegneswaran, Vinod [2006]

An Inside Look at Botnets
University of Wisconson, Madison.
10. BBC
[02.06.2011] Targeted cyber attacks an ‘epidemic’ - Maggie Shiels
[05.06.2011] International body ICSPA to fight cybercrime globally
[12.06.2011] IMF hit by ‘very major’ cyber security attack
[13.06.2011] Government ‘may have hacked IMF’
[13.06.2011] IMF cyber attacks signal new spying era
[05.12.2011] Botnets: Hi-tech crime in the UK - Mark Ward

[12.12.2011] Oil cyber-attacks could cost lives, Shell warns

[12.01.2012] Israeli hacker retaliates to credit card hacking - Yolande Knell
[16.01.2012] New cyber attack hits Israeli stock exchange and airline - Yolande Knell
[02.05.2012] Danger in the Download
[07.07.2013] Under Attack: The Threat from Cyberspace
Een serie van drie radioprogramma’s over de duistere kanten van de virtuele wereld waarin wordt gestolen,
gespioneerd en oorlog wordt gevoerd.
[24.07.2013] Cyber dangers and glass houses - Rory Cellan-Jones
[12.11.2013] 376,000 credit card holders' details stolen in breach
[17.12.2013] Cybercrime shopping list study points to falling prices - Raul Rubens
[10.01.2014] Target data theft affected 70 million customers
[06.08.2014] Russia gang hacks 1.2 billion usernames and passwords
[02.09.2014] Horizon: The defenders of anonymity on the internet - Mike Radford
[03.09.2014] Home Depot investigates possible credit card hack attack
[09.09.2014] Home Depot admits hack attack dates back to April
11. Beaver, Kevin [2007]

Hacking for Dummies.
Indianapolis: Wiley.
12. Beckett, Donald M. / Putnam, Douglas T. [2010]

Predicting Software Quality
13. Bendrath Ralf

[2003] The American Cyber-Angst and the Real World�Any Link.
In Latham R. (ed) [2003] Bombs and Bandwidth: The Emerging Relationship Between
Information Technology and Security.
New York: The Free Press, 49-73.
14. Bhaskar, Roy [2006] State and local law enforcement is not ready for a cyber Katrina.
In: Communications of the ACM, 49(2): 81-83.
15. Bhattacharjee, Supriyo

Internet Fraud Case - Vladimir Levin
In: College of Agricultural Banking.
16. Beijer, A. e.a. [2004]

De Wet Bijzondere Opsporingsbevoegdheden: Eindevaluatie.
Den Haag: Boom 2004.
17. Bilge, Leyla / Dumitras, Tudor [2012]

Before We Knew It - An Empirical Study of Zero-Day Attacks In The Real World
18. Biryukov, Alex / Pustogarov, Ivan / Weinmann, Ral-Philipp [2013]

Content and popularity analysis of Tor hidden services

In: Cryptome, 30.8.2013
19. Bits of Freedom (BoF)

[30.06.2011] Dreigingsanalyses cybercrime meestal ongeloofwaardig
[14.12.2011] Politie gluurt mee, minister kijkt weg - Rejo Zenger
[24.08.2012] Staat vrijheid op internet op de radar van politici? - Rejo Zenger
[05.10.2012] Bits of Freedom naar rechter om uitblijven van beslissing KLPD - Rejo Zenger
[16.10.2012] Terughacken is risico voor cybersecurity - Ot van Daalen
[07.11.2012] Wat niet weet, wat wel deert - Rejo Zenger
[22.11.2012] Ministerie overstag na gang naar rechter - Rejo Zenger
[06.12.2012] Hackplannen Opstelten: durf te vragen - Simone Halink
20. Boebert, Earl W.M [2010]

A Survey of Challenges in Attribution
In: Proceedings of a Workshop on Deterring CyberAttacks: Informing Strategies and
Developing Options for U.S. Policy.
21. Bloomberg
[14.06.2011] IMF State-Backed Cyber-Attack Follows Hacks of Lab, G-20 - Michael Riley & Sandrine
Rastello
[03.08.2012] How Software Updates Are Destroying the Stock Market - Matthew Philips
[06.10.2012] India’s NSE Says 59 Erroneous Orders Caused Stock Plunge - Rajhkumar K. Shaaw, Santanu
Chakraborty & Shikhar Balwani
[05.11.2012] Coke Gett Hacked and Doesn’t Tell - Ben Elgin, Dune Lawrence & Michael Riley
[10.09.2013] Fed Warns of ‘Escalating Threats’ to U.S. Payment System - Joshua Zumbrun
[13.09.2013] Santander Cyber Attack Thwarted by U.K. Police as 12 Arrested - Kit Chellel
[18.09.2013] Cyber Attacks Pose Danger to Financial System: U.S. Regulator - Jesse Hamilton
[09.06.2014] Cybercrime Remains Growth Industry With $445 Billion Lost - Chris Strohm
[17.07.2014] How Russian Hackers Stole the Nasdaq - Michael Riley
[28.08.2014] Internet Security - Jordan Robertson
[28.08.2014] Russian Hackers Said to Loot Gigabytes of Big Bank Data - Michael Riley & Jordan Robertson
[03.09.2014] From Russia With Love: JPMorgan Hack May Be Warning, Says Former NSA Chief - Chris
Strohm
[04.09.2014] Data Breaches in the U.S.
22. Brenner, Susan W.

[2002] Organized Cybercrime? How Cyberspace May Affect the Structure of Criminal
Relationships
In: North Caroline Journal of Law and Technology 4:1-40.
[2009] Cyber Threats: The Emerging Fault Lines of the Nation State.
Oxford University Press.
23. Burnett, Mark [2011]

10.000 Top Passwords
24. Buzan, Barry / Wæver, Ole / Wilde, Jaap de [1998]

Security: A New Framework for Analysis.

Boulder: Lynne Rienner Pub.
25. Center for Strategic & International Studies (CSIS)

[15.12.1998] Cybercrime, Cyberterrorism, Cyberwarfare
[01.05.2001] Cyber Threats and Information Security - Arnaud de Borchgrave, Frank J. Cilluffo, Sharon L.
Cardash, Michele M. Ledgerwood
[01.11.2002] Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats - James Andrew
Lewis
[15.06.2007] Cyber Attacks Explained - James Andrew Lewis
[06.09.2013] On Backdoors and Encryption - James Andrew Lewis
[13.03.2014] Cyber Threat and Response - James Andrew Lewis
[19.05.2014] DOJ to Charge Chinese Army Hacked U.S. Firms - James Andrew Lewis
26. ChinaDaily
[02.07.2011] The uncertainties of cyberspace - Shen Yi
[05.06.2014] China is victim of hacking attacks - Li Xiaokun
27. Choo, Kim-Kwang, Raymond [2010]

Trends & issues in crime and criminal Justice
Canberrra: Australian Institutes of Criminology.
28. Cimpean, Dan / Meire, Johan [2009]

Country Report: Belgium - European Network and Information Security Agency
29. Clayton, Richard [2005]

Anonymity and traceability in cyberspace
Cambridge: University of Cambridge.
30. Cohen, Fred Computer Viruses - Theory and Experiments

31. [1994] A Short Course on Computer Viruses
Wiley, second edition.
32. ComputerWorld
Tag: Cybercrime
[28.04.2010] Microsoft en de schijnveiligheid - Volkert Deen
[23.08.2010] Nederland topland voor cybercrime - Hans Vogelsang
[22.10.2010] SaaS gaat als een speer - Kristian van Tuil
[02.11.2010] SSD kraakt wachtwoorden in een oogwenk - Kristian van Tuil
[27.12.2010] 5 Trends in cybercrime - Kristian van Tuil
[28.03.2011] Wat doen we met de domme massa? - Kristian van Tuil
[09.06.2011] 6 nieuwe kansen voor cybercriminelen - John Brandon
[23.06.2011] Cybercrime bestrijden? Volg het geld! - Jon Brodkin
[25.08.2011] Weet jij hoe je data echt moet verwijderen? - Stefan Hammond
[27.09.2011] Tikfoutjes gevaarlijker dan ooit tevoren - Roger A. Grimes
[15.11.2011] #Occupy het internet! - Kristian van Tuil
[11.01.2012] Politie laat cybercrime vrijwel ongemoeid - Roger A. Grimes & Kristian van Tuil
[27.01.2012] Privacy en bedrijfsgeheimen - zo 2011 - Volkert Deen
[05.03.2012] 6 niet te onderschatten beveiligingstrends - Nick Mediati

[14.03.2012] 'Het grote gevaar komt uit Oekra�ne' - Taylor Armerding

[25.04.2012] Linux is geen beveiligingsoplossing - Tony Bradley
[18.06.2012] VS: 'Cybercrime ernstiger dan Al Qaeda' - Antone Gonsalves
[20.06.2012] Mails slecht geschreven maar goed werkt - Kristian van Tuil
[02.07.2012] 4 IT-gevaren van stille zomerdagen - Joan Goodchild
[05.07.2012] Data blijkt nauwelijks te verzekeren
[09.07.2012] Wraak is voor bedrijven niet interessant - Constantine van Hoffman
[03.09.2012] Beveiligers doen Java massaal in de ban - Robert Lemos
[26.09.2012] De panacee voor internetbeveiliging - Roger A. Grimes
[08.11.2013] Bescherm je bedrijf tegen cyberspionage - Righard Zwienenberg
[01.01.2013] Cybercrime kent evengoed NV's, BV's en VoF's - Antone Gonsalves
[02.01.2013] Maak gevaarlijke e-mail onschadelijk - Jason Clark
[10.04.2013] Hoe beschermen banken zich tegen DDoS? - Henk-Jan Buist
[09.07.2014] Wat kost cybercrime je bedrijf nou �cht? - Henk-Jan Buist
[05.08.2014] Cybercrime is goedkoop; tijd om te investeren - Tony Bradley
[05.09.2014] Waarom blijven spammers doordrammen? - Lincoln Spector
[30.10.2014] Hack Blackshades-server door politie onwettig - Andreas Udo de Haes
33. Cooper, Ricky A. / Van Vliet, Ben [2012]

Whole-Distribution Statistical Process Control in High-Frequency Trading
In: Journal of Trading, 7(2):57-68.
34. CPNI (Platform voor Cybersecurity)
35. CyberWarZone (CWZ)

[16.05.2014] International police raid on Blackshades malware buyers
36. Data Breach Today

[05.08.2014] Security Firm: 1.2 Billion Credentials Hacked - Jeffrey Roman
[06.08.2014] 5 Facts About CyberVor Report - Matthew J. Schwartz
[07.08.2014] Experts Analyze Impact of CyberVor - Jeffrey Roman
[13.08.2014] CyberVor Update: Hold Security Responds - Jeffrey Roman
37. DarkReading
[28.05.2010] Pssst...Want To Rent A Botnet? - Mathew J. Schwartz
[03.11.2010] Zeus Attackers Deploy Honeypot Against Researchers, Competitors - Kelly Jackson Higgins
[18.02.2011] New Fast-Flux Botnet Unmasked - Kelly Jackson Higgins
[26.06.2014] As Stuxnet Anniversary Approaches, New SCADA Attack Is Discovered - Sarah Peters
[30.06.2014] Cyberspying Campaign Comes With Sabotage Option - Kelly Jackson Higgins
[31.07.2014] 'Energetic' Bear Under The Microscope - Kelly Jackson Higgins
[10.09.2014] Attack Steals Online Banking Credentials From SMBs - Kelly Jackson Higgins
38. D�cary-H�tu, David / Dupont, Benoit [2012]

The social network of hackers
In: Global Crime, 13(3): 160�175.
39. Denning, Dorothy E.

[1986] An Intrusion Detection Model
Proceedings of the Seventh IEEE Symposium on Security and Privacy. May 1969, pp. 119-

131.
[1998] Internet Besieged: Countering Cyberspace Scofflaws. Addison-Wesley.
40. Denning, Dorothy E. / Baugh, William E., Jr. [1999]

Hiding Crimes in Cyberspace.
Inn: Information, Communication and Society, 2(3), July 1999.
41. EenVandaag
[11.02.2012] Drugs en wapens via TOR eenvoudig beschikbaar
[29.05.2012] Cybercrimineel heeft vrij spel
[10.06.2014] 'Samenleving slecht bestand tegen cybercrime'
42. Economist, The

[09.11.2011] Measuring the black web
[06.06.2013] Admit nothing and deny everything
[10.07.2014] Hackers Inc.
43. Eurojust
Operational and strategic activities
[19.05.2014] International operation hits BlackShades users
44. European CyberCrime Centre (EC3)

[2004] The Internet Organised Crime Threat Assessment (iOCTA)
45. Europese Unie

Digital Agenda for Europe
[December 2000] Draft Convention on Cyber-Crime
[30.09.2010] Commissie wil Europa beter beschermen tegen cyberaanvallen
[09.01.2013] Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) opent op 11 januari
[07.02.2013] EU oppert plan voor cyberbeveiliging: bescherming van open en vrij internet en kansen in
digitale wereld
46. Europol
Organized Crime (SOCTA/OCTA)
Threat Assessments
[09.12.2009] Carbon Credit Fraud Causes More Than 5 Billion Euros Damage For European Taxpayer
[01.07.2010] Europol Review 2009
[10.08.2010] Organized Crime & Energy Supply
[28.12.2010] Further investigation into VAT fraud linked to the carbon emissions trading system
[31.03.2011] Strategic Meeting on VAT Fraud
[18.07.2012] Europol to lead international cyber security protection alliance consultation into the future of
cybercrime
[05.10.2012] Global crackdown on illicit online pharmacies
[12.10.2012] Europol warning in relation to a variant of the police ransomware malware
[26.11.2012] Websites selling counterfeit merchandise taken down by authorities in Europe and the USA
[07.01.2013] New European Cybercrime Centre (EC3) to tackle rising trens in payment card fraud
[21.01.2013] New European Cybercrime Centre (EC3) opens at Europol
[13.02.2013] Police dismantle prolific ransomware cybercriminal network
[08.03.2013] International network of on-line card fraudsters dismantled
[19.03.2013] Europol identifies 3600 organised crime groups active in the EU

[15.11.2012] Europols data protection framework as an asset in the fight against cybercrime
[28.03.2013] Global credit card fraud network dismantled
[29.05.2013] Increased law enforcement cooperation is the key to fighting online child abuse
[26.06.2013] 328 internet domains selling counterfeit products targeted by law enforcement
[25.09.2013] Facing future cyber threats
[25.09.2013] Europol-Interpol cybercrime conference stepts up policing in cyberspace
[15.10.2013] New cybercrime report examines disturbing trens in commercial online child sex abuse
[14.02.2013] Ransomware
[02.12.2013] 690 internet domain names seized because of fraudulent practices
[05.12.2013] Notorious botnet infecting 2 million computers disrupted
[Febr. 2014] Police Ransomware - Threat Assessment
[04.02.2014] Police Ransomware: a multimillion Euro business
[19.03.2014] Europol director calls for a fair deal on police powers to tackel online crime
[25.03.2014] Criminal grou of online fraudsters dismantled
[28.03.2014] European Cybercrime Centre at Europol warns about Windows XP security risks
[13.05.2014] Arrests in international voice-phishing case
[19.05.2014] Worldwide operation against cybercriminals
[02.06.2014] International action against 'Gameover Zeus' botnet and 'Cryptolocker' ransomware
[06.06.2014] Increased focus on the link between the internet and human trafficking
[17.06.2014] Cybercrim experts tackle the criminal exploitatio of virtual currencies
[10.07.2014] Global action targeting Shylock malware
[01.09.2014] Expert International Cybercrime Taskforce launched to tackle online crime
[08.09.2014] International network of child abuse photographers dismantled
47. F.B.I. (Federal Bureau of Investigation)

Addressing Threats to the Nation�s Cybersecurity
[12.04.2011] Cybersecurity: Responding to the Threat of Cybercrime and Terrorism - Gordon M. Snow
Statement Before the Senate Judiciary Committee, Subcommittee on Crime and Terrorism
[14.09.2011] Cyber Security: Threats to the Financial Sector - Gordon M. Snow
Statement before the House Financial Services Committee, Subcommittee on Financial Institutions and
Consumer Credit.
[01.03.2012] Combating Threats in the Cyberworld: Outsmarting terrorists, hackers and spies - Robert S.
Mueller
RSA Cyber Security Conference. San Francisco, CA
[19.12.2014] Update on Sony Investigation
48. Financieel Dagblad

Onderwereld ontdekt in hoog tempo internet - Rob de Lange
[18.12.2014] Juridische mist bij digitale oorlogvoering - Rob de Lange
[23.12.2014] Noord-Koreaans internet ging plat in een zucht - Maurice Geluk
[02.01.2015] Nederland moet veilige haven worden voor opslag en beheer van data
49. Fox It
Cybercrime
Cybercrime trainingen
[22.04.2013] European Cyber Security Group Founded to Combat Cybercrime
50. Gai, Jiading / Yao, Chen / Ye, Mao [2012]

The Externalities of High-Frequency Trading
51. Glenny, Misha

[2011] Dark Market: Cybercriminelen, cyberpolitie en onze veiligheid in een digitale wereld.

Ambo.
The Nexus of Cyber Crime, Espionage and Cyber Warfare
52. Gollmann, Dieter [2011]

Computer Security. Chichester: Wiley.
53. Guardian, The

Cybercrime - Dossier
[17.08.2003] Net closes on paedophiles - Tony Thompson
[17.01.2011] Hackers will not be deterred by UK cyber defences, report warns - Owen Bowcott
[21.09.2011] Cybercrime: is it out of control? - Misha Glenny
[29.09.2011] Sock puppets, twitterjacking and the art of digital fakery - Stuart Jeffries
[27.10.2011] Chinese hackers suspected of interfering with US satellites - Charles Arthur
[01.11.2011] DarkMarket by Misha Glenny - review - Thomas Jones
[06.03.2012] Securing the future benefits of technology - Hamadoun Touré
[07.03.2012] The LulzSec hacking arrests won’t make it safer online - James Ball
[27.06.2012] The urgency of a computer virus nonproliferation treaty - Pratap Chatterjee
[09.07.2012] DNSChanger may take 300,000 offline - Charles Arthur
[09.07.2012] DNSChanger malware causes internet blackout in over 42,000 computers
[14.09.2012] Malware being installed on computers in supply chain, warns Microsoft
[18.09.2012] Cyberfraud threatens welfare reform, warns minister
[03.12.2012] Cybercrime to get higher priority
[06.12.2012] Student convicted over Anonymous cyber-attacks
[03.01.2013] Cybersecurity drive to target schoolchildren and 'risky men'
[13.01.2013] The battle against cybercrime is too important to be undone by Eurosceptics - Misha Glenny
[11.02.2013] Businesses need to protect against IP theft
[11.02.2013] Who are the hackers? Profiling the masters of data disruption - Guy Clapperton
[13.02.2013] Infographic: how botnets work to attack networks
[13.02.2013] Russian-led cybergang broken by police
[25.02.2013] Anonymous hackers jailed for cyber attacks - Josh Halliday
[27.02.2013] UK was world's most phished country in 2012 - why is it being targeted?
[27.02.2013] Could data science turn the tide in the fight against cybercrime?
[19.03.2013] Botnet fraud costs display advertisers $6m a month, security researchers say - Charles
Arthur
[28.03.2013] Internet slows down after DNS attack on Spamhaus
[17.04.2012] Britain is right to take the lead on cybersecurity - Nick Hopkins
[17.04.2013] Is Armageddon on the cyber horizon? - Alan Bentley
[24.04.2013] LulzSec arrest in Australia
[24.04.2013] LulzSec hacking suspect arrested in Sydney - video
[28.04.2013] 'Cyber Jedi' schools contest a new hope for Britain's IT empire to strike back
[05.05.2013] On the frontline of the fight against cybercrime
[12.05.2013] 20 ways to keep your internet identity safe from hackers
[16.05.2013] IT expert jailed for attacks on Oxford and Cambridge websites
[16.05.2013] LulzSec: what they did, who they were and how they were caught
[16.05.2013] LulzSec hackers jailed for string of sophisticated cyber-attacks
[16.05.2013] LulzSec: the unanswered questions
[17.05.2013] Why are the LulzSec hackers being locked up? - James Ball
[20.05.2013] The man who 'nearly broke the internet'
[31.05.2013] Ransomware: protection, prevention and what to do in an attack
[31.05.2013] Hack in the USSR: cybercriminals find haven in .su domain space
[29.07.2013] Human trafficking investigators play catchup as criminals go hi-tech
[30.07.2013] Britain is losing the war against internet crime, says MP report
[30.07.2013] Cyber criminals targeting UK, say MPs - video

[31.07.2013] How a Russian cybercriminal tried to frame me with a Bitcoin heroin deal - Brian Krebs
[06.08.2013] Child abuse images 'used by criminals in bid to introduce malware' - Charles Arthur
[10.08.2013] How should you protect yourself from cyber surveillance? - Dan Gillmor
[16.08.2013] Cyber scams take advantage of hope and trust Jemima Kiss
[23.08.2013] Cybercrime hits more than 9 million UK web users
[26.08.2013] Saudi Aramco hit by computer virus - Charles Arthur
[26.08.2013] Five arrested over online tax fraud
[28.08.2013] 'Vishing' scams net fraudsters �7m in one year
[13.01.2013] The battle against cybercrime is too important to be undone by Eurosceptics - Misha Glenny
[28.08.2013] New York Times website offline after ‘malicious external attack’ - Adam Gabbatt
[13.09.2013] Cybergang foiled after allegedly hacking into London bank
[16.09.2013] Internet security: 10 ways to keep your personal data safe from online snoopers
[20.09.2013] Barclays theft: eight arrested over �1.3m stolen remotely by gang
[25.09.2013] Labour conference: Yvette Cooper to pledge action internet shopping fraud
[03.10.2013] Adobe warns 2.9 million customers of data breach after cyber-attack
[07.10.2013] FBI struggles to seize 600,000 Bitcoins from alleged Silk Road founder - Alex Hern
[07.10.2013] FBI pranked by furious Bitcoin users since Silk Road shutdown - Alex Hern
[12.10.2013] Protecting yourself online isn't as easy as it used to be, but it can be done - Dan Gillmor
[19.10.2013] CryptoLocker attacks that hold your computer to ransom
[19.10.2013] 10 ways to beat CryptoLocker
[22.10.2013] Ex-hackers could be recruited to UK cyberdefence force
[29.10.2013] Briton Lauri Love faces hacking charges in US
[30.10.2013] Online fraud costs global economy 'many times more than $100bn'
[12.11.2013] In from the cold: the mainstream rehabilitation of the 'hacker'
[15.11.2013] UK faces mass 'ransomware' email attack from cybercriminal gangs
[21.11.2013] US police force pay bitcoin ransom in Cryptolocker malware scam - Samuel Gibbs
[03.12.2013] Online drugs marketplace shut down after �3.5m bitcoin hack - Alex Hern
[06.12.2013] Five reasons why big companies are finding it hard to beat cyber criminals
[06.12.2013] RBS says NatWest website hit by cyber-attack
[10.12.2013] Five predictions for information security and cybercrime in 2014
[11.12.2013] Cybercrime police investigating �1m bank theft arrest four people in London
[11.01.2014] Neiman Marcus confirms customers affected by cyber-security breach
[22.01.2014] How to set a strong password - Erica Buist
[05.02.3014] City needs to be better prepared for cyber-attacks, Bank of England warns
[26.02.2014] US prosecutors investigate businesses dealing in bitcoins
[27.02.2014] PC users: beware of CryptoLocker malware
[11.03.2014] Protect your small business from cybercrime
[14.03.2014] Tackling insider cyber threats requires a credible digital forensic strategy
[14.03.2014] A web safe, sound and fit for purpose
[01.04.2014] WiFi routers could be exploited for huge internet attacks in UK � study - Ben Brewster
[03.04.2014] By turning security into a data problem, we can turn the tables on the bad guys
[14.04.2014] The NSA's Heartbleed problem is the problem with the NSA - Julian Sanchez
[15.04.2014] Trouble with Russia, trouble with the law: inside Europe�s digital crime unit - Tom Brewster
[17.04.2014] It's simple: criminalize revenge porn, or let men punish women they don't like - Mary Anne
Franks & Danielle Citron
[30.04.2014] The cyber risks facing UK retailers � lessons from the US
[30.04.2014] Avoiding mobile fraud: What small businesses need to know
[02.05.2014] Philippines police arrest webcam extortion suspects
[07.05.2014] 10 talking points about cybersecurity and your business - Stuart Dredge
[08.05.2014] Android porn browsers warned to watch out for Koler.A ransomware - Stuart Dredge
[15.05.2014] Is Elderwood the digital arms dealer that fuelled attacks on Google? - Tom Brewster
[16.05.2014] Police warn men over online 'sextortion'
[19.05.2014] FBI arrests 100 hackers over Blackshades malware - Alex Hern
[26.05.2014] Prosecutors seek leniency for hacker Sabu who helped tackle Anonymous

[28.05.2014] Sabu, the FBI and me: how his light sentence affects the hacking landscape
[02.06.2014] Global police operation disrupts aggressive Cryptolocker virus
[02.06.2014] US accuses Russian hacker Evgeniy Bogachev of $100m fraud
[03.06.2014] Cryptolocker: 10 steps to avoid the ransomware virus
[03.06.2014] Cyber security break-ins a 'daily hazard while firms skimp on protection'
[04.06.2014] Cryptolocker: Police take further action on ransomware that hit 50,000 in UK - Tom Brewster
[04.06.2014] Life sentences for serious cyberattacks are proposed in Queen's speech
[05.06.2014] Simplocker Android malware locks up mobile data and demands a ransom - Tom Brewster
[06.06.2014] How to protect yourself from phishing - Stuart Dredge
[06.06.2014] Latest OpenSSL bug �may be more dangerous than Heartbleed� - Tom Brewster
[09.06.2014] Is the global cost of cybercrime really �266bn a year? No, it isn�t - Tom Brewster
[16.06.2014] The �30k data takeaway: Domino�s Pizza faces ransom demand after hack - Samuel Gibbs
[27.06.2014] Scams, scareware and threats: how online hackers tap into your worst fears
[10.07.2014] Shylock malware exits stage left, pursued by UK cyber police - Tom Brewster
[17.07.2014] ScarePakage Android ransomware pretends to be FBI porn warning - Tom Brewster
[23.07.2014] Police arrest suspects in StubHub ticket site fraud investigation
[06.08.2014] Cybersecurity experts take Russian hacking scare 'with a pinch of salt' - Samuel Gibbs
[07.08.2014] Sophisticated 'Turla' hackers spying on European governments, say researchers - Tom
Brewster
[23.08.2014] Records of up to 25,000 Homeland Security staff hacked in cyber-attack
[28.08.2014] FBI investigating Russian links to JPMorgan hacking - Elizabeth Rust
[28.08.2014] JPMorgan Chase among US companies 'targeted by Russian hackers'
[01.09.2014] Europol launches taskforce to fight world�s top cybercriminals - Tom Brewster
[27.09.2014] Meet this �modern day hero� who is determined to outscam the scamsters - Miles Brignall
[01.10.2014] Legal and General calls on stock market giants to fight cybercrime - Jill Treanor
54. Gulijk, Coen van [2011]

Harmonisatie van Safety & Security
55. Hackmageddon
Cyber Attacks Timeline
Cyberattacks Statistics
56. Hadnagy, Chris [2011]

Social Engineering: The Art of Human Hacking.
57. Hathaway, Oona et al. [2012]

The Law of Cyber-Attack
In: California Law Review, Vol. 817
58. Hayden, Michael V. [2011]

The Future of Things ‘Cyber’
In: Strategic Studies Quarterly 5(1): 3-7
59. Heise Security

[11.10.2010] ENISA warnt vor weiteren gezielten Angriffen auf kritische Infrastrukturen
[02.11.2011] Angreifer nehmen Industriesteuerungen im Internet aufs Korn
[04.12.2012] Der Prototyp ist fertig - David Talbot

[23.01.2013] Kaspersky gibt weitere Details zu “Roter Oktober” heraus

[08.02.2013] Manipulierte Kreditkarten ohne Limit
[25.02.2014] Cyberangriffe zu humanit�ren Zwecken in Syrien? - Thomas Pany
[05.04.2014] Licht aus! Sicherheit kritischer Infrastruktur im Test - Felix "FX" Lindner
[08.04.2014] Energieversorger testet Sicherheit � und f�llt durch
[02.09.2014] Satudarah-Rocker wegen "Cyber-Bankraubs" vor Gericht
60. Hendershott, T. / Jones, C. M. / & Menkveld, A. J. [2011]

Does algorithmic trading improve liquidity?
In: The Journal of Finance, 66(1): 1-33.
61. Hersh, M. Seymour [2010]

The Online Threat
In: New Yorker, 1 November 2010.
62. Heuvel, Marten / Botterman, Maarten / Spiegeleire, Stephan de [2003]

Cyber Security in an Era of Technological Change
Rand Corperation.
63. Honeynet Project

[15.05.2005] Know your Enemy: Phishing
[2012] A Real-Time Map of Global Cyberattacks
Op de kaart zijn cyberaanvallen te zien die op dat moment in de wereld plaatsvinden. De kaart van het
Honeynet Project toont zoveel aanvallen dat het lijkt alsof je naar een scene zit te kijken van een
apocalyptische oorlogsfilm. Elke rode stip die oplicht als je naar de kaart gaat representeert een aanval op
een computer. De gele punten representeren honeypots (systemen die zijn opgezet om inkomende
aanvallen te registreren). In het zwarte veld onderaan kun je zien waar elke aanval vandaan komt. De
gegevens komen van de leden van het netwerk van het Honeynet Project van honeypot sensoren. Ook al
worden lang niet alle cyberaanvallen in kaart gebracht, het geeft een verbazingwekkend beeld van de
hoeveelheid malware dat computernetwerken aanvalt.
64. Hoskins, Andrew / Liu, Yi-Kai / Relkuntwar, Anil [2005]

Counter-Attacks for Cybersecurity Threats
Cyber Security and Homeland Security.
65. Hulsma, Sander [2012]

Expert kraakt Cisco-vergadersysteem Defensie
In: Computable, 23.2.2012
66. ifex
[11.04.2011] Cambodia's secret Draft Cybercrime Law seeks to undermine free speech online
[04.04.2014] Philippines: Inching toward censorship
[24.06.2014] Trinidad and Tobago cybercrime bill could criminalise defamation
[06.08.2014] Madagascar's new cybercrime law punishes defamation with up to 5 years imprisonment
[11.08.2014] British Virgin Islands revises cybercrime bill to add public interest clause
[19.09.2014] New cybercrime law could have serious consequences for press freedom in Qatar

67. Independent, The

[11.05.2014] Cybercrime boss offers a Ferrari for hacker who dreams up the biggest scam - Paul Peachey
[29.09.2014] Mafia cybercrime booming and with it a whole service industry, says study - Paul Peachey
[01.10.2014] Cheryl Cole named 'the most dangerous celebrity' on the internet - Jenn Selby
68. Intelligence Online
69. International Center for Security
70. International Journal of Cyber Criminology (IJCC)

[2007a] Cyber Criminology: Evolving a novel discipline with a new journal - K. Jaishankar
January 2007, Vol 1 (1):1-5
[2007b] Computer Crime Investigations in the United States: Leveraging Knowledge from the Past to
Address the Future - Sameer Hinduja
January 2007, Vol 1 (1): 1-26
[2007c] Establishing a Theory of Cyber Crimes - K. Jaishankar
July 2007, Volume 1(2): 7-9.
[2007d] Crime Control in the Digital Age: An exploration of Human Rights Implications - Russell G. Smith
July 2007, Volue 1(2): 167-179
[2007e] Cyber stalking: An Analysis of Online Harassment and Intimidation - Michael L. Pittaro
July 2007, Volume 1(2): 180-197
[2007f] Book Review of Cybercrime � The Reality of the Threat - Nicholas Chantler
July 2007, Volume 1(2): 249�251
[2007g] Book Review of How to avoid becoming a victim - James Bowers, Jr.
July 2007, Volume 1(2): 252�255
[2008a] Identity related Crime in the Cyberspace: Examining Phishing and its impact - K. Jaishankar
January-June 2008, Vol 2 (1): 10�15
[2008b] Book Review of Crimes of the Internet - Stephen M. Marson
January-June 2008, Vol 2 (1): 322�323
[2008c] Cyber Hate: Antisocial networking in the Internet - K. Jaishankar
July-December 2008, Vol 2 (2): 16�20
[2008d] Book Review of Cybercrime and Society -Russel Smith
July - December 2008, Vol 2 (2): 397�399
[2009a] Sexting: A new form of Victimless Crime? - K. Jaishankar
January-June 2009, Vol 3 (1): 21�25
[2009b] Book Review of Understanding and Managing Cybercrime - Robert M. Slade
January-June 2009, Vol 3 (1): 492�493
[2009c] What�s Love Got to Do with It? Exploring Online Dating Scams and Identity Fraud - Aunshul Rege
[2009d] Book Review of Cybercrime: The Transformation of Crime in the Information Age - Herkko
Hietanen
[2010a] The Future of Cyber Criminology: Challenges and Opportunities - K. Jaishankar
Jan � July 2010, July - December 2010 (Combined Issue) Vol 4 (1&2): 26�31
[2010b] The Risk Propensity and Rationality of Computer Hackers - Michael Bachmann
[2010c] The Council of Europe�s Cyber Crime Treaty: An exercise in Symbolic Legislation - Nancy E.
Marion
[2011a] Understanding Cyber-Crime in Ghana: A View from Below - Jason Warner
Jan � July 2011, Vol 5 (1): 736�749
[2011b] Undercover Online: An Extension of Traditional Policing in the United States - Melissa J. Tetzlaff-

Bemiller
July � December 2011, Vol 5 (2): 813�824
[2011c] Gang Presence in Social Network Sites - David D�cary-H�tu & Carlo Morselli
[2012a] Examining the Social Networks of Malware Writers and Hackers - Thomas J. Holt, Deborah
Strumsky, Olga Smirnova & Max Kilger
January � June 2012, Vol 6 (1): 891�903
[2012b] Criminals and Cyber Attacks: The Missing Link between Attribution and Deterrence - Clement
Guitton
[2014a] Organizations and Cyber crime: An Analysis of the Nature of Groups engaged in Cyber Crime -
Roderic Broadhurst, Peter Grabosky, Mamoun Alazab & Steve Chon
January � June 2014, Vol 8 (1): 1�20.
71. Internet Researche & Onderzoek Netwerk (iRN)

Internet Recherche, Onderzoek & Innovatie Netwerk
72. Javers, Eamon

[2010] Broker, Trader, Lawyer, Spy: The Secret World of Corporate Espionage
New York: HarperCollins.
[2011] Secrets and Lies - The Rise of Corporate Espionage in a Global Economy
In: Georgetown Journal of International Affairs, Winter/Spring 2011.
73. Karnow, Curtis E.A. [2003]

Strike and Counterstrike: The Law on Automated Intrusions and Striking Back
BlackHat Windows Security 2003, Seattle, WA, Feb 27, 2003.
74. KarsperskyLab
Hacking & System Vulnerabilities
Malware Classifications
Types of Spyware
What is a Botnet?
[11.07.2012] Kaspersky Lab Research Proves that Stuxnet and Flame Developers are Connected
[21.10.2013] The Big Four Banking Trojans - Brian Donohue
75. Kirwan, Gr�inne / Power, Andrew

[2012] The Psychology of Cyber Crime: Concepts and Principles. Information Science
Reference.
[2013] Cybercrime: The Psychology of Online Offenders
76. Kenyon, Henry S. [1999]

Adaptive Response Tool Foils Hackers
In: Signal Online, August 1999.
77. KLPD (Korps landelijke politiediensten)

[14.07.2010] Overall-beeld Aandachtsgebieden

78. Knake, Robert K. [2010]

Untangling Attribution: Moving to Accountability in Cyberspace
Prepared statement to the US House of Representatives Committee on Science and
Technology. Planning for the Future of Cyber Attack. July 5 2010.
79. Koh, Harold Hongju

[2010] The Obama Administration and International Law
Speech, American Society of International Law, 25 March 2010.
[2012] International Law in Cyberspace.
In: Harvard International Law Journal, Vol. 54.
80. KrebsonSecurity
[20.01.2010] New Clues Draw Stronger Chinese Ties to ‘Aurora’ Attacks
[15.07.2010] Experts Warn of New Windows Shortcut Flaw
[22.11.2011] DHS Blasts Reports of Illinois Water Station Hack
[23.02.2012] ‘Citadel’ Trojan Touts Trouble-Ticket System>
[25.08.2012] Espionage Hackers Target ‘Watering Hole’ sites
[08.10.2012] ‘Project Blitzkrieg’ Promises More Aggressive Cyberheists Against U.S. Banks
[28.10.2012] DHS Warns of ‘Hacktivist’ Threat Against Industrial Control Systems
[13.01.2013] Police Arrest Alleged ZeuS Botmaster “bx1”
[14.05.2014] �Blackshades� Trojan Users Had It Coming
81. Kruisbergen, E.W. / Van de Bunt, H.G. / Kleemans, E.R. [2012]

Georganiseerde criminaliteit in Nederland
Vierde rapportage op basis van de Monitor Georganiseerde Criminaliteit.
82. Lawson, Sean

[2011] Denial of Service: Sit-in? No. Protest? Yes
In: Forbes, 01.07.2011.
[2012] Beyond Cyber Doom - Cyber Attack Scenarios and the Evidence of History
In: Harvard Law School National Security Journal, 25.1.12.
Opgenomen in: Ducheine/Osinga/Soeters 2012: 270-308.
83. Leibowitz, Wendy R. [1999]

How law enforcement cracks cybercrimes.
In: New York Law Journal, 5.
84. Lessig, Lawrence [1999]

Code and Other Laws of Cyberspace.
New York, NY: Basic Books.
85. Leverett, Éireann [2011]

Quantitatively Assessing and Visualising Industrial System Attack Surfaces

University of Cambridge.
86. Leveson, Nancy G.

[1995] Safeware: System Safety and Computers.
Addison-Wesley.
[2004] A New Accident Model for Engineering Safer Systems
In: Safety Science, 42(4): 237-270.
87. Leukfeldt, E.R. [2010]

The e-fraudster: A criminological perspective Leicester: University of Leicester.
88. Lord, Kristin / Sharp, Travis (eds.) [2011]

America’s Cyber Future.
Washington, DC: CNAS.
89. Lyman, Michael D. [2014]

Criminal investigation: the art and the science (7th ed.)
Upper Saddle River, N.J.: Prentice Hall.
90. Lyu, Michael R. [2005]

Handbook of Software Reliability Engineering
Computer Society Press & McGraw-Hill.
91. Maio, Paola di [March 2001]

Internet Europe: Hacktivism, Cyberterrorism Or Online Democracy?
92. Malwageddon
[14.10.2013] LightsOut EK: “By the way... How much is the fish!?”
93. Malwareinfo.nl
94. Mattord, Verma [2008]

Principles of Information Security. Course Technology.
95. McAfee
[2011] Ten Days of Rain
Expert analysis of distributed denial-of-service attacks targeting South Korea.
[2012] 2012 Threats Predictions
[01.04.2013] Infographic: The State of Malware 2013
[Juni 2014]Jackpot! Money Laundering Through Online Gambbing - Charles McFarland, Fran�ois Paget, Raj
Samani
[2014] Net Losses: Estimating the Global Cost of Cybercrime | Summary

96. McGraw, Gary [2006]

Software Security: Building Security In.
Boston, NY: Addison-Wesley.
97. Menkveld, Albert

[2011] Foresight Driver Review: Electronic Trading and Market Structure
[2012] Flitshandel: iedereen profiteert
In: IPE (Investment & Pensions Europe), 24.4.2012
[2012b] Flitshandel kan in milliseconde tot beursramp leiden
Interview in Volkskrant 17 oktober 2012.
98. Ministerie van Veiligheid en Justitie

Nationaal Dreigingsbeeld: georganiseerde criminaliteit (NDB): 2008 | 2012 | 2013
[2011] Nationale Cyber Security Strategie: Slagkracht door samenwerking
[06.10.2014] Antwoorden Kamervragen over het gebruik van omstreden spionagesoftware door de politie
[17.10.2014] Antwoorden Kamervragen over het hacken van servers door de politie
99. Mitnick, Kevin D. / Simon, William L.

[2002] The Art of Deception - Controlling the Human Element of Security
Ned. Vert.: De kunst van het misleiden: De menselijke factor in informatiebeveiliging.
Pearson Education Benelux
[2005] The Art of Intrusion - The Real Stories Behind the Exploits of Hackers, Intruders &
Deceivers
Indianapolis: Wiley
[2011] Ghost in the Wires: My Adventures as the World’s Most Wanted Hacker
100. Morozov, Evgeny

[2011] The Net Delusion: The Dark Side of the Internet Freedom
New York: Public Affairs. In: Slate, 23.8.2012
[2012] Het einde van de internet-utopie
VPRO - Tegenlicht, 31.8.2012
101. Mueller, John / Friedman, Benjamin [2012]

The Cyberskeptics
In: CATO Institute, 3.1.2012
102. Netzpolitik.org
[18.01.2013] Data Mining, Data Fusion und jetzt sogar Twitter: Was kann das neue �Cybercrime Centre�
bei Europol? - Matthias Monroy
[06.08.2014] Gamma FinFisher hacked: 40 GB of internal documents and source code of government
malware published - Andre Meister

[27.08.2014] Beschw�rung von Bedrohungen aus dem Cyberraum: Lagebericht zu Computer- und
Internetkriminalit�t - Anna Biselli
[28.08.2014] Panik! Jeder zweite Deutsche ist Opfer von Cybercrime! - Andre Meister
103. Nationaal CrisisCentrum [NCC]

[17.02.2011] Evaluatie oefening Cyberstorm III
[25.11.2011] Nationaal centrum bundelt krachten tegen cyberdreigingen
104. Nationaal Cyber Security Centrum [NCSC]

[dec. 2011] Cybersecuritybeeld Nederland.
[jan. 2012] Whitepaper Cloudcomputing
[31.01.2012] Update Factsheet over een kwetsbaarheid in SSL en TLS
[07.04.2012] Checklist beveiliging van ICS/SCADA-systemen
[07.04.2012] Beveiligingsrisico’s van online SCADA-systemen
[15.06.2012] Factsheet: Afluistermalware Flamer lang onder de radar
[10.07.2014] Cybersecuritybeeld Nederland 4
105. National Infrastructure Protection Center [NIPC]

Een Amerikaans centrum voor het opsporen en beoordelen van en reageren op onwettige
handelingen die te maken hebben met informatietechnologieën welke de vitale
infrastructuren bedreigen.
106. National Research Council [NRC]

[1991] Computers at Risk. Washington D.C.:National Academies Press.
[2007] Toward a Safer and More Secure Cyberspace. Washington D.C.: The National Academies Press.
[2009] Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities.
Washington D.C.:National Academies Press.
107. Namestnikov, Yuri [2009]

The Economics of Botnets
In: Securelist, 22.7.09.
108. Netkwesties
[14.12.2008] Frank Engelsman over cybercriminaliteit
[08.07.2012] Criminele carders versus vasthoudende bromsnorren
[03.04.2013] Banken straffen fraudeslachtoffers met slapeloze nachten
[15.04.2013] Heilstaat van de netwerksamenleving en reputatie-economie - Peter Olsthoorn.
[11.05.2013] Justitie wil de computer in: Aanvaluhh!
109. Newman, G. / Clarke, R.V. [2003]

Superhighway robbery: Preventing e-commerce crime
Portland, Oregon: Willan Publising
110. New York Times, The

[02.06.1999] Federal Cybercrime Unit Hunts for Hackers - Matt Richtel
[27.10.2003] Brazil Becomes a Cybercrime Lab - Tony Smith
[04.04.2008] The evolution of CyberCrime Inc.

[26.08.2009] Defying Experts, Rogue Computer Code Still Lurks - John Markoff
[17.12.2010] Granting Anonymity - Virginia Hefferman
[19.03.2011] In 'Kingpin,' a New Look at Cybercrime - Review - Bryan Burrough
[14.03.2012] The Cybercrime Wave That Wasn't - Dinei Florêncio & Cormac Herley
[19.03.2012] Make the Punishment Fit the Cyber-Crime
[14.04.2012] The Cybercrime Wave That Wasn’t - Dinei Florêncio / Cormac Herley
[03.06.2012] Preventing a Cybercrime Wave - Preet Bharara
[04.06.2012] Why attack when we can’t defend? - Ralph Langler
[24.06.2012] A Weapon We Can’t Control - Misha Glenny
[26.09.2012] Cyberwarfare Emerges From Shadows for Public Discussion by U.S. Officials - Scott Shane
[19.11.2012] Cyberwar and Social Media in the Gaza Conflict - Alan Cowell
[27.01.2013] Pentagon Expanding Cybersecuriry Force to Protect Networks Against Attacks - Elisabeth
Bumiller
[13.02.2013] Cybercrime Network Based in Spain Is Broken Up - Raphael Minder
[20.02.2013] Heinz Trades Draw F.B.I Scrutiny - William Alden
[13.03.2013] Security Chief Says Computer Attacks Will Be Met - Mark Mazzetti & David E. Sanger
[26.03.2013] Firm Is Accused of Sending Spam, and Fight Jams Internet - John Markoff & Nicole Perlroth
[27.03.2013] Spies and Big Business Fight Cyberattacks - Harvey Morris
[27.03.2013] Attacks on Spamhaus Used Internet Against Itself - John Markoff & Nicole Perlroth
[29.03.2013] Provocateur Comes Into View After Cyberattack - Eric Pfanner / Kevin O’Brien
[30.03.2013] How the Cyberattack on Spamhaus Unfolded - Alan McLean / Guilbert Gates / Archie Tse
[09.05.2013] In Hours, Thieves Took $45 Million in A.T.M. Scheme - Marc Santora
[05.09.2013] N.S.A. Able to Foil Basic Safeguards of Privacy on Web - Nicole Perlroth, Jeff Larson & Scott
Shane
[02.07.2014] Cybercrime Scheme Uncovered in Brazil - Nicole Perlroth
[05.08.2014] Russian Hackers Amass Over a Billion Internet Passwords - Nicole Perlroth & David Gelles
[27.08.2014] JPMorgan and Other Banks Struck by Hackers - Nicole Perlroth
111. Noopur, David [2005]

Developing Secure Software
In: Journal of Software Technology
112. NOS
[07.10.2005] Recherche pakt computerkrakers op
[16.01.2007] Celstraffen geëst tegen hackers
[15.07.2011] Wie zit(ten) er achter de cyberaanval op de VS?
[20.09.2007] Samenwerking tegen Cybercrime
[18.12.2007] Boete van miljoen voor cybercrime
[03.08.2011] Staat mogelijk achter enorme cyberaanval
[11.11.2011] FBI klikt groot botnet offline
[29.02.2012] Hackers teisteren bankklanten
[29.02.2012] ’11,2 miljoen schade door criminaliteit internetbankieren’
[10.03.2012] Justitie hack illegaal in buitenland
[12.03.2012] Bedrijven kwetsbaar voor cybercrime
[28.03.2012] Den Haag krijgt Europees Centrum voor Cybercrime
[29.06.2012] ‘Cybercriminelen hebben grotendeels vrij spel’
[29.06.2012] Kans dat cybercriminelen gesnapt worden is klein
[04.07.2012] ‘Nederland verspreidt 15% van alle malware’
[09.08.2012] Virus besmet meer en meer pc’s (Dorifel)
[09.08.2012] Virus richt zich niet op particulieren
[09.08.2012] Dorifel-virus: meer dan 30 instellingen besmet
[16.08.2012] ‘Cybercriminelen moeten harder worden aangepakt’

[14.09.2012] Nieuwe vorm cybercrime ontdekt

[10.10.2012] “Nederland moet terughacken”
[16.10.2012] Opstelten over cybercrime: meer bevoegdheden
[03.02.2013] ‘China is de meest ontwikkeld en actieve hacker’
[03.02.2013] Nederland ‘paradijs cybercriminelen’
[04.02.2013] ‘NL aantrekkelijk voor cybercriminelen’
[04.02.2013] Kamer bezorgd over cybercriminaliteit
[14.02.2013] Overheid laks na grote cyberaanval
[14.02.2013] Jeroen Wollaars: data cybercriminelen waren bijvangst
113. NRC
[23.09.2011] Cybercrime wordt zwaar onderschat - Marc Leijendekker
[04.10.2011] Breng die digitale kanonnen eens in stelling - Steven de Jong
[09.06.2012] Wanted: soldaten tegen cybercrime
[16.10.2012] Kamer steunt plan ruimere bevoegdheden bij aanpak cybercrime - Lex Boon
[09.11.2012] Hacker zonder opleiding schopt het tot baas omsttreden spionagefirma - Wouter Smilde
[06.12.2012] Adviseurs Opstelten hekelen hackende politie - Marc Hijink
[19.04.2013] �Wachten is op groter incident� - Peter Teffer
[10.05.2013] Cybercriminelen maken 45 miljoen dollar buit - �leek op Ocean�s Eleven� - Anouk van
Kampen
[10.05.2013] Twee Nederlanders vast in verband met wereldwijde miljoenenroof - Lex Boon
[24.06.2013] Voor China zijn onthullingen over cybercrime door de VS goud waard - Oscar Garschagen
[09.07.2013] Haags spoor in megabankroof - Dolf de Groot & Christiaan Pelgrim
[17.10.2013] De bankroof van Eddy en Willemina - Dolf de Groot
[17.09.2013] Zesde Nederlander verdacht in pinroof - Dolf de Groot
[17.09.2013] Haagse hulp bij digitale bankroof
[17.09.2013] Zesde Nederlander verdacht in pinroof - Dolf de Groot
[18.09.2013] Een sporttas vol cash - Dolf de Groot
[08.10.2013] Geen enkel onderzoek naar cybercrime voltooid
[15.01.2014] Justitie: plak webcam af met sticker
[11.02.2014] Digitale veiligheid voor dummies - Hans Klis
[12.02.2014] Europol krijgt Nederlandse adjunct-directeur
[12.06.2014] Pas op! Criminelen loeren op jouw DigiD - Wiler Heck
[14.06.2014] Digitale bankroof door een ex-agent - Tom Kreling
[24.07.2014] Wall Street Journal gehackt
[25.08.2014] Met X311de krochten van de Russische online onderwereld in - Mehdi Atmani
[30.08.2014] Wall Street en foute angst voor risico�s - Haim Bodek
114. Nye, Joseph S.

[1990] Bound to Lead: The Changing Nature of American Power.
New York: Basic Books.
[2010] Cyber Power.
Cambridge, MA: Harvard University.
[2011a] The Future of Power.
New York: Public Afairs Press.
115. OECD [2011]

Reducing Systemic Cybersecurity Risk
Geschreven door Peter Sommer en Ian Brown.

116. Oerlemans, J.J.

[2011] Hacken als opsporingsbevoegdheid?
In: Delikt en Delinkwent, 8: 888-908.
[2012] Mogelijkheden en beperkingen van de internettap
117. Odinot, G. / Jong, D. de / Leij, J.B.J. van der / Poot, C.J. de / Straalen, E.K. van
[2012]
Het gebruik van de telefoon- en internettap in de opsporing
Den Haag: Boom Lemma.
118. Openbaar Ministerie (OM)

[25.10.2010] Nationale Recherche haalt berucht botnet neer
[11.07.2012] Nationale Recherche houdt verdachte van digitale inbraak bij Simpel aan
[26.04.2014] Nederlander aangehouden in Spanje vanwege cyberaanvallen op Spamhaus
[19.05.2014] Wereldwijde actie politie en justitie tegen hackers
[18.08.2014] Digitale bankrovers veroordeeld tot 4 jaar celstraf
119. OWNI
[31.10.2012] FinFisher: For All Your Intrusive Surveillance Needs
120. PAC Bestrijding van criminaliteit in de gedigitaliseerde maatschappij. Actualisatie van het
RHC beleid De Bilt: PAC
121. Parker, Don B. [1976]

Crime by computer
New York: Charles Scribner’s Sons.
122. Parool, Het

[13.10.2012] Aanval op internetproviders blijft uit
[13.10.2012] Dreiging cyberaanval werk van één persoon
[14.10.2012] Dreigement grootscheepse cyberaanval kwam van 16-jarige
[13.11.2012] Lockheed slaat alarm over recordaantal cyberaanvallen
123. PCCIP (President’s Commission on Critical Infrastructure Protection) [1997]

Critical Foundations: Protecting America’s Infrastructures
124. PCWorld
[10.05.2001] Did Hackers Seed the Net With Worms? - Sam Costello
[19.08.2008] Georgia Cyberwar Overblown - Andreas M. Antonopoulos
[16.05.2009] Preparing for Cyberwar - Ellen Messmer
[17.06.2009] Industry, Military Experts Discuss Murky Cyberwar Issues - Jeremy Kirk
[28.07.2009] Obey Browser Certificate Warnings Due to DNS Flaw - Glenn Fleishman
[23.02.2010] Security Expert: US Would Lose Cyberwar - Grant Ross
[20.09.2010] Nations, Companies Should Prepare for Cyberwar, Experts Say - Grant Ross
[05.12.2010] Threat of Cyberwar Calls for Treaties, Hotlines - Anh Nguyen
[17.01.2011] Internet ’Kill Switch’ Could Cause Chaos - John E. Dunn

[02.03.2011] If Stuxnet Was Act of Cyberwar, Is US Ready for a Response? - George V. Hulme
[18.03.2011] The Face of Cyberwar - Jaikumar Vijayan
[24.03.2011] Google, Skype, Yahoo Targeted by Rogue Comodo SSL Certificates - Tony Bradley
[08.04.2011] HTTPS Is Under Attack Again - Keir Thomas
[19.05.2009] Advanced Algorithms Enlisted To Fight Cyberwars - Robert Varnosi
[30.04.2011] Comodo Hacker Claims Another Certificate Authority - Robert McMillan
[31.05.2011] What a Cyberwar With China Might Look Like - Jaikumar Vijayan
[01.06.2011] North Korea Training Cyberwarriors at Foreign Colleges - John E. Dunn
[06.06.2011] US Readies Cyberwar Strategy - Tim Greene
[12.06.2011] Big Questions About Cyberwar - John Dix
[18.06.2011] US Builds Cyberwar Virtual Firing Range - Ed Oswald
[18.06.2011] Pentagon Clones Internet to Practive Cyberwar - Tim Greene
[12.07.2011] Cyberwar and Cyber-Isolationism - Scott Bradner
[06.09.2011] Comodo CEO Says DigiNotar Hack Was State-Sponsored - John P. Mello Jr.
[09.09.2011] How to Protect Yourself From Certificate Bandits - John P. Mello Jr.
[07.10.2011] Security Upgrades Needed With Growing Cyberwar Threats - Agam Shah
[20.02.2012] When Is a Cybercrime an Act of Cyberwar? - Tony Bradley
[03.04.2012] FBI: Cyberattacks Grow as National Security Menace - Ellen Messmer
[08.06.2012] Cybercrime ’Much Bigger Thann Al Queada’ - Antone Gonsalves
[05.07.2012] Flame Malware Spreading Itself Via Bogus Windows Updates - John P. Mello Jr.
[20.01.2013] Conficker worm reappears - John E. Dunn
125. Penna, Lyta / Clark, Andrew J. / Mohay, George M. [2005]

Challenges of Automating the Detection of Pedophile Activity on the Internet
In: Proceedings of the First International Workshop on Systematic Approaches to Digital
Forensic Engineering, 7-9 November 2005, Taipei, Taiwan, pp. 206-222.
126. Pouget, Fabien / Dacier, Marc / Debar, Hervé [2003]

Honeypot, Honeynet, Honeytoken: Terminological issues
White Paper, Eurecom.
127. ProPublica
[08.08.2014] Leaked Docs Show Spyware Used to Snoop on U.S. Computers - Jeff Larson & Mike Tigas
128. RAND
[2014] Markets for Cybercrime Tools and Stolen Data — Hackers' Bazaar - Lillian Ablon, Martin C. Libicki &
Andrea A. Golay
129. RSA
[06.01.2012] Geeks With Guns: Obama’s New Defense Plan Invests In Cyber Capabilities - Seth Geftic
[20.07.2012] Lion at the Watering Hole — The “VOHO” Affair - Will Gragido
[27.06.2012] Air Gaps and Smart Grid - Bob Griffin
[24.09.2012] Dark Side of Shamoon - Christohper Elisan
[02.10.2012] Intense Defense: Building a Rbust Active Defense Ethos - Will Gragido
[29.01.2014] Security Operations Management: Ninjas and Windows - Steve Schlaman
[20.05.2014] iBanking Mobile Bot Raising Its Shields - Daniel Cohen
130. Sanger, David E.

[2012] Confront and Conceal: Obama’s Secret Wars and Surprising Use of American
Power.

[2012] Mutually assured Cyberdestruction?

In: The New York Times, 02.06.2012.
131. SANS Institute [2001]

The Twenty Most Critical Internet Security Vulnerabilities
Een uitstekend overzicht van de 20 grootste kwetsbaarheden van het internet,
gepresenteerd door het SANS Instituut (System Administration, Networking, and Security).
132. SCADAhacker.com
133. Schneier, Bruce

[09.12.2003] Internet Worms and Critical Infrastructure
In: CNet News.
[16.12.2003] Blaster and the Great Blackout
In: Salon.com.
[01.05.2008] America’s Dilemma: Close Security Holes, or Exploit Them Ourselves
In: Wired News.
[19.06.2008] The Truth About Chinese Hackers
In: Discovery Technology.
[july 2008] Chinese Cyberattacks: Myth or Menace?
In: Security.
[13.07.2009] So-called Cyberattack Was Overblown
In: MPR News Q and ITWire.
[07.07.2010] Threat of ‘cyberwar’ has been hugely hyped
In: CNN.
[09.07.2010] 3 Reasons to Kill the Internet Kill Switch Idea
In: AOL News.
[02.12.2010] It will soon be too late to stop the cyberwars
In: Financial Times.
[8.06.2012] Debate Club: An International Cyberwar Treaty Is the Only Way to Stem the Threat
In: U.S. News.
[19.10.2012] Fear Pays the Bills, but Accounts Must Be Settled
In: New York Times Room for Debate.
[29.11.2012] Militarizing Cyberspace Will Do More Harm Than Good
In: The Irish Times.
[27.09.2013] Understanding the Threats in Cyberspace
In: Europe’s World.
[06.01.2014] The Internet of Things Is Wildly Insecure�And Often Unpatchable
In: Wired.
[06.03.2014] There's No Real Difference Between Online Espionage and Online Attack
In: The Atlantic.
[19.05.2014] Should U.S. Hackers Fix Cybersecurity Holes or Exploit Them?
In: The Atlantic.
[19.05.2014] A Human Problem
In: The Mark News.
[20.05.2014] The U.S.’s Hypocritical Stance Against Chinese Hackers
In: Time.
134. Schonfeld, Erick [2009]

The Evolution Of Click Fraud: Massive Chinese Operation DormRing1 Uncovered

In: TC, 8.10.09
135. SecureList
[24.04.2006] Malware naming - a never ending story - Roel Schouwenberg
[24.02.2014] Mobile Malware Evolution: 2013 - Victor Chebyshev & Roman Unuchek
[28.02.2014] The Future of Bitcoin After the Mt. Gox Incident - Stefan Tanase
[17.05.2014] The Bitcoin 2014 Conference - Are Crypto-Currencies Reaching Maturity? - Stefan Tanase
[25.09.2014] Well, that escalated quickly - Santiago Pontiroli
[07.10.2014] Tyupkin: Manipulating ATM Machines with Malware
[10.10.2014] Tic Tac Toe with a twist - Anton Kivva
136. SecureWorks
[18.11.2013] The Underground Hacking Economy is Alive and Well - Elizabeth Clarke
137. Security.nl
[21.02.2001] Nederland is lek
[24.10.2002] VS dreigt Nigeria met sancties wegens 419 scams
[19.07.2004] 419 scammers veranderen in huurmoordenaars
[15.12.2006] Bruce Schneier waarschuwt voor cybercrime hype
[04.12.2007] “Aandelenbeurzen en vrije pers doelwit van hackers in 2008”
[02.06.2008] Tiener leidt groep Chinese hackers
[17.11.2008] Nederlander spil in Nigeriaanse 419-zwendel
[10.12.2008] Obama ontvangt strijdplan tegen hackers
[02.04.2009] 419-slachtoffer vermoordt Nigeriaanse oplichters
[15.05.2009] "Oplichten Nigeriaanse scammers is gewoon leuk"
[17.07.2009] Nigeriaanse 419 scam in het Nederlands
[29.12.2009] Security voorspellingen 2010
[19.05.2010] Nieuwe Metasploit geeft hackers brute kracht
[19.05.2010] 720.000 websites in 2010 gehackt en besmet
[07.06.2010] Expert: domme politici gevaarlijker dan hackers
[10.06.2010] Interview met Mikko Hyppönen over mobiele malware
[10.06.2010] “Smartphones virusvrij dankzij Windows”
[10.06.2010] Hackers misbruiken vaker opensource-lekken
[11.01.2011] Hoe onveilig wordt het internet in 2011? - Job de Jong
[14.01.2011] 900.000 Nederlandse pc’s onderdeel botnet
[08.02.2011] “Grens hacktivisme en cyberoorlog steeds vager”
[19.02.2011] “Verveelde tieners gevaarlijker dan superhackers”
[08.03.2011] Nigeriaanse 419 scammer krijgt 20 jaar cel
[20.05.2011] “Hacker kan hardware permanent saboteren”
[22.06.2011] Meer malware met legitieme certificaten getekend
[02.09.2011] PVV stelt Kamervragen na DigiNotar-blunder
[05.09.2011] “Diginotar-hack belangrijker dan Stuxnetworm
[22.01.2012] Hacker onthult “100.000” gestolen Facebook-logins
[25.04.2012] “Nederlandse servers broeinets van cybercrime”
[28.04.2012] “China zondebok voor falense westerse IT-beveiliging
[24.05.2012] Gonggrijp: hackers moeten wereld veiliger maken
[16.10.2012] India traint half miljoen cybersecurity-experts
[23.11.2012] Amerikaanse EFF noemt hackplan Opstelten schandalig
[11.01.2013] Meesterbrein ‘Nederlands’ botnet ontmaskerd
[15.01.2013] Red October spionagevirus gebruikte oud Java-lek
[17.01.2013] Spionagevirus zocht naar Nederlandstalige Windows
[20.01.2013] Wet van Moore zal wachtwoord niet afmaken

[07.02.2013] ‘Opofferen privacy helpt niet tegen cybercrime’

[07.02.2013] Helft Chinese pc’s besmet met malware
[08.02.2013] ‘Europese Cyberstrategie schaadt security en vrijheid’
[11.02.2013] Malware vereenvoudigt aanval op internetbankieren
[14.02.2013] Nederland in Top 10 malware-landen
[14.02.2013] Europol arresteert makers politievirussen
[19.02.2013] Overheid gaat detectie van malware uitbreiden
[28.02.2013] Ontwerper RSA-algoritme: encryptie is passé
[17.03.2013] Nederland heeft geen zicht op cyberspionnen
[13.08.2014] Zeus Trojan gebruikt voor Nigeriaanse 419 scam
[21.01.2014] 530 Nederlanders slachtoffer phishing en 419-scams
[16.07.2014] Nederlander trapt in "gestrande reiziger" scam
[11.09.2014] Criminelen gebruiken slachtoffer MH17 voor internetscam
[22.09.2014] Mannen aangeklaagd wegens bankoverval van 30 miljoen euro
[24.09.2014] Sterke daling van fraude met internetbankieren en skimming
[24.09.2014] Kali Linux verandert Nexus-toestellen in hackertool
[24.09.2014] Website jQuery.com gebruikt om malware te verspreiden
[25.09.2014] Sterke stijging van fraude met internetbankieren in VK
[30.10.2014] AirHopper steelt data van offline computer via radiogolven
138. Securityrecht
Computervredebreuk
Bewijs en forensisch onderzoek
139. Seshagiri, Girish [2011]

Predicting Software Quality Early in the Software Development Lifecycle and Producing
Secure Software
Presented at the Systems & Software Technology Conference, May 18, 2011. Salt Lake City.
140. Shin, Yonghee/Willams, Laurie [2008]

Is Complexity Really the Enemy of Software Security?
In: ACM Conference on Computers and Communications Security (CCS) 2008, Alexandria,
VA, pp. 47-50.
141. Sicherheitstacho.eu
Een in real-time bijgewerkte wereldkaart die laat zien waar cyberaanvallen worden uitgevoerd. Deutsche
Telekom verzamelt de dat van 97 sensoren die werken als lokaas-systemen (honeypots) op verschillende
plekken in de wereld.
142. Singer, Peter W. / Friedman, Allan [2013]

Cybersecurity: What Everyone Needs to Know.
Oxford University Press.
143. Singh, Abhishek (ed.) [2010]

Vulnerability Analysis and Defense for the Internet
Springer Verlag.

144. Singh, Abhishek / Lambert, Scott / Ganarcharya, Tanmay A. / Williams, Jeff [2010]
Evasions In Intrusion Prevention/Detection Systems
In:Virus Bulletin, 01.04.10
145. Smith, George

[1994] The Virus Creation Labs: A Journey into the Underground.
American Eagle.
146. Somayaji, Anil / Hofmeyr, Steven / Forrest, Stephanie [1997]

Principles of a Computer Immune System
In New Security Paradigms Workshop. Langdale, Cumbria UK.
147. Spapens, Toine [2010]

Macro Networks, Collectives, and Business Processes: An Integrated Approach to Organized
Crime
In: European Journal of Crime, Criminal Law and Criminal Justice, 18(2): 185�215
148. Spiegel, Der

[15.01.2003] Kampf der Cracker: Virtuell Kollateralschäden - Frank Patalong
[08.10.2003] Liebe, Wut und Hafen hacken - Frank Patalong
[17.05.2004] Computerviren: Binäre Brut - Hilmar Schmundt / Adreas Ulrich
[12.02.2009] Rückkehr der Hacktivisten - Frank Patalong
[27.09.2010] Computersicherheit: Mord ohne Leiche - Marcel von Rosenbach, Gregor Peter Schmitz &
Hilmar Schmundt
[01.10.2010] Bedrohungen aus dem Netz: Angriff der Killerdaten - Matthias Kremp
[29.11.2010] Computer: Angriff aus dem Netz
[04.02.2011] Internet-Sicherheit: Kabinett will über Cyber-Abwehr beraten
[16.06.2011] IT-Sicherheitsbericht: Vorhang auf für den Cyber-Minister - Ole Reißmann
[16.06.2011] IT-Sicherheit: Innenminister Friedrich eröffnet Cyber-Abwehrzentrum
[02.06.2012] Der Wurm als Waffe - Thomas Dranstädt
[06.11.2012] Hacker-Werkzeug kostet nur acht Dollar - Judith Horchert
[20.02.2013] USA drohen bei Hacker-Angriffen mit Handelskrieg
[24.02.2013] Chinesische Hacker greifen EADS und ThyssenKrupp an
[06.06.2013] Botnet-Betreiber erbeuten 500 Millionen Dollar
[14.10.2014] Menschenhandel, Korruption, Cybercrime
[30.06.2014] "Mehr Schaden durch Cyberkriminalit�t als durch Drogenhandel"
[27.08.2014] Cyberkriminalit�t - die Erfahrungen der Opfer
149. Spitzner, Lance [2002]

Honeypots: Tracking Hackers. Addison-Wesley.
150. SpyFiles
151. Spy Museum
152. Standaard, de

[16.05.2000] Cyberrecht staat nog in kinderschoenen - F. Kuittenbrouwer

[26.11.2001] Criminaliteit in cyberspace - Patrick Van Eecke
[18.03.2002] Microsoft neemt het op tegen cybercrime - Patrick Van Eecke
[15.07.2005] Nieuwe niche voor cybercriminelen: data ontvoeren voor losgeld - Nancy Nackaerts
[04.11.2007] Cybercriminelen worden steeds professioneler
[25.03.2010] Creditcardfraude op internet stijgt spectaculair - Frank Renout
[27.03.2010] Hacken is geen sport meer
[20.04.2010] Eind dit jaar nationaal kenniscentrum cybercriminaliteit
[23.09.2010] Belg heeft vals gevoel van veiligheid online - Jan Custers
[25.11.2010] 'G20 moet over cybercrime beslissen' - Marc Hijink
[20.09.2011] Cybercriminaliteit maakt drie slachtoffers per minuut in Belgi�
[21.09.2011] Cybercriminaliteit
[29.11.2011] Computercriminaliteit maakt forse opmars in Belgische bedrijfswereld
[30.11.2011] Cyberfraude moderne pest voor bedrijven
[12.01.2012] Maatregelen tegen cybercrime
[27.01.2012] Kingpin/Dark market - Kevin Poulsen/Misha Glenny - Dominique Deckmyn
[21.12.2012] Cybercrime boomt in 2012 - Mark Eeckhaut
[11.01.2013] Europol gaat de strijd met cybercrime aan
[12.01.2013] �Traditionele opsporing werkt niet meer’
[12.01.2013] �E�n foto van een nieuwe auto kan alles verraden’ - Nikolas Vanhecke,
[05.03.2013] Zes op de tien Belgen slachtoffer van cybercrime
[05.04.2013] �We betalen de prijs voor onze verdeeldheid� - Nikolas Vanhecke
[05.03.2013] �Op de pc's van Justitie staat zelfs niet eens Skype’
[30.03.2013] Handel in malware is volwaardige ondergrondse economie
[30.03.2013] Cybercrime vergt openheid - Guy Tegenbos
[02.04.2013] Graag in de luren gelegd - Nikolas Vanhecke
[02.04.2013] Politie krijgt cybertraining - Nikolas Vanhecke
[04.04.2013] 'Pedofielen amper online op te sporen'
[16.04.2013] Hackers worden amper veroordeeld
[16.05.2013] Gerecht onderzoekt Belgische �Anonymous�-site - Dominique Deckmyn & Nikolas Vanhecke
[10.06.2013] Obama en Xi kletsen aanpak cybercriminaliteit weg
[13.06.2013] 3. Fighting Cybercrime (2012)
[17.06.2013] Onderzoek naar cybercriminelen levert recordvangst hero�ne op
[24.08.2013] De zendmast ziet u
[03.09.2013] �Cybercrime neemt explosief toe�
[04.09.2013] Website elektronische identiteitskaart aangevallen
[05.09.2013] �Cybercrime is een gevaar voor onze kenniseconomie� - Nikolas Vanhecke
[17.09.2013] Wanneer neemt Belgi� de dreiging serieus? - Kristof Clerix
[17.09.2013] Nederlanders maakten de boel schoon
[23.11.2013] Weet u wat er met uw gegevens op het internet gebeurt?
[18.12.2013] Strijden tegen cybercrime met wetten van Napoleon - Nikolas Vanhecke
[02.01.2014] Vechten tegen cybercrime in 2014
[14.05.2014] CIA tipte Belgi� over Russische hacking met virus Snake - Mark Eeckhaut
[14.07.2014] Belgi� scoort goed inzake fraude en corruptie
153. Stevens, Marc [2012]

Attacks on Hash Functions and Applications
Universiteit Leiden.
154. Stol, Wouter

[2004] Trends in cybercrime
In: Justiti�le verkenningen, 30(8): 76-94

[2008] Cybercrime
In: W.Ph. Stol en A.Ph. van Wijk (red.), Inleiding criminaliteit en opsporing.
Den Haag: Boom Juridische uitgevers, 2008, p. 65-77
[2010] Cybersafety overwogen
Den Haag, Boom Juridische uitgevers
[2011] Cybersafety
In: W.Ph. Stol, C. Tielenburg e.a. (red.), Basisboek integrale veiligheid, Den Haag: Boom Lemma uitgevers,
p. 295-308
155. StrategyPage
[13.03.2013] More High Grade Malware Showing Up
[01.08.2014] Why Government Networks Are So Poorly Protected
156. Swimmer, Morton [2008]

Towards integrated malware defence
In: VB2008, 1-3 October 2008 in Ottawa.
157. Symantec
[06.10.2010] Critical Infrastructure Protection Study
158. Talbot, Julian / Jakeman, Miles [2008]

Security Risk Management Body of Knowledge. South Carlton.
159. Tarala, James [2002]

Virii Generators: Understanding the Threat
160. TechRepublic
[11.02.2010] Ransomware: Extortion via the Internet - Michael Kassner
[11.11.2013] How web-browser automation helps purveyors of malware - Michael Kassner
[05.12.2013] AutoCAD malware: Rare but malignant - Michael Kassner
[08.04.2014] How to avoid the pileup malware exploit on Android - Jack Wallen
161. Tech Worm

[15.09.2014] Seventeen countries used FinSpy to spy on their citizens � Wikileaks - Vijay
[18.09.2014] Malicious eBay listings redirects iPhone buyers to phishing site - Vijay
162. Telegraaf, De
[04.04.2007] Vacature voor �geldezel� in e-mail nieuwe stap cybercrime
[13.09.2007] Vuist tegen cybercrime
[18.09.2007] Harde aanpak cybercrime
[20.09.2007] OPTA en KLPD gaan samen cybercrime bestrijden
[06.02.2008] �Driekwart overheid geen plan tegen cybercrime�
[24.10.2008] Meldpunten over cybercrime in elk EU-land
[26.11.2008] EU pakt 'cybercrime' aan
[24.06.2009] Legereenheid VS gaat vechten tegen cybercrime
[27.07.2009] Symptomen van cybercrime
[27.07.2009] Campagnesite Justitie niet goed beveiligd
[27.07.2009] Cybercrime wordt niet geregistreerd
[27.07.2009] Marktplaats: zeker tien meldingen per dag
[29.10.2009] 'Overheid schiet tekort in aanpak cybercrime'

[24.02.2010] 'Cybercrime vaak van binnenuit'

[15.06.2010] 'Cybercrime neemt hand over hand toe'
[15.10.2010] Britten vrezen terrorisme en cybercrime
[27.10.2010] Nederlanders laks bij voorkomen cybercrime
[05.01.2011] Europa bundelt krachten tegen cybercrime
[06.01.2011] Cybercrime: grof geld voor persoonlijke info
[07.01.2011] Ook 'offline' criminaliteit leunt op internet
[07.01.2011] Politie legt netwerk kinderporno bloot
[07.01.2011] Europol: bewuster worden van cybercrime
[25.02.2011] Beneluxberaad over cybercrime
[25.03.2011] OM roept bedrijven op tot aangifte cybercrime
[10.06.2011] Honderden arrestaties in Azi� voor cybercrime
[22.06.2011] 'Nog stappen te zetten' bij aanpak cybercrime
[03.09.2011] Overzicht gebeurtenissen Diginotar
[14.11.2011] Taskforce cybercrime banken gaat door
[26.01.2012] Wereld eist actie tegen cybercrime
[12.03.2012] 'Bedrijven slecht voorbereid op cybercrime'
[10.04.2012] Cybercrime kost Nederland 10 miljard
[29.06.2012] 'Aanpak cybercrime niet goed geregeld'
[20.07.2012] Obama waarschuwt voor cybercrime
[09.08.2012] Virus bespiedt financiële transacties
[01.02.2013] 'Pedovirus' tergt Duitsers
[15.03.2013] Opstelten: meer inzet banken tegen cybercrime
[15.03.2013] Banken te soft tegen cybercrime�
[17.02.2013] Pechtold wil minister van cybercrime
[30.03.2013] China: regels cybercrime VS schaden handel
[01.04.2013] Een op de acht mensen slachtoffer cybercrime
[06.04.2013] Cybercrime nekslag kleine ondernemers - Frank van Rutten
[16.04.2013] Retailers niet gecompenseerd
[22.04.2013] Bedrijven bundelen krachten tegen cybercrime
[28.05.2013] Amsterdammers opgepakt voor cybercrime
[30.05.2013] 'Geld terug bij cybercrime'
[30.05.2013] NVB: zaken cybercrime blijven vaak liggen
[05.06.2013] Webshops niet verzekerd tegen cybercrime
[03.07.2013] Criminelen bieden cyberaanvallen aan
[15.07.2013] Verzekeraars willen meer met cybercrime
[18.07.2013] 'Cybercrime moet hoog op EU-agenda'
[23.08.2013] 'Cybercrime is grootste bedreiging'
[27.08.2013] 'Cybercrime meer dan ict-probleem
[30.08.2013] Twee phishing-verdachten aangehouden
[12.09.2013] Cybercriminelen haken in op PRISM-schandaal
[14.10.2013] Cybercrime kost €290 miljard per jaar
[24.10.2013] Cyberbende gijzelt vijf miljoen pc's
[05.11.2013] �Satudarah is betrokken bij grootste cybercrime� - Rob Savelberg
[29.11.2013] Gestolen smartphone in buitenland blokkeren
[13.12.2013] 'Hacker brak in bij belangrijke instellingen'
[13.12.2013] Kabinet wil veiliger digitale samenleving
[18.12.2014] Gestolen data voor dumpprijzen verkocht
[28.01.2014] Kaspersky: grote Android aanval op komst
[04.02.2014] Verdachten miljoenenroof gepakt
[10.02.2014] Keiharde aanpak cybercriminaliteit - Jorn Jonker
[26.02.2014] Europeanen trappen massaal in 'ransomware'
[28.02.2014] Computervirus kan zich via wifi verspreiden
[03.03.2014] Lichte stijging slachtoffers cybercrime

[10.03.2014] Politie waarschuwt voor cryptoware

[17.03.2014] 'Bluetooth helpt inbrekers bij tablet-diefstal'
[19.03.2014] Onderzoekers maken malware voor Google Glass
[21.03.2014] ACM waarschuwt consumenten voor computervirus
[27.03.2014] Android apps delven stiekem virtueel geld
[03.04.2014] Cybercriminaliteit floreert - Bart Olmer
[14.04.2014] Creditcardgegevens klanten LaCie gestolen
[06.05.2014] Cybercriminelen jagen slinks op ict'ers bedrijven
[06.05.2014] Bedrijfsleven verliest strijd tegen cybercrime
[09.06.2014] 'Cybercrime kost honderden miljarden'
[20.06.2014] Apple gebruikers doelwit cybercriminelen - Gabi Ouwerkerk
[11.07.2014] Overheid vreest cybercrime 'vitale sectoren'
[15.08.2014] Cybercriminelen maken jacht op gamers
[16.09.2014] Nederland wil leiding bij aanpak cybercrime - Alfred Monterie
163. Telegraph, The

[26.03.2014] Cyber black market 'more profitable than drug trade' - Sphie Curtis
[16.04.2014] Relax, Mumsnet users: don't lose sleep over Heartbleed hysteria - Michael Hanlon
[22.04.2014] Crime is not falling, it's moved online, says police chief - Tom Dry
[02.05.2014] Philippines police and Interpol smash cyber extortion network
[19.05.2014] 17 UK arrests linked to malware which captured nude pictures of Miss Teen USA - Matthew
Sparkes
[07.06.2014] Russian hacker wanted by US hailed as hero at home - Mansur Mirovalev
[09.06.2014] Cyber crime costs global economy $445 bn annually - Phiannon Williams
[27.08.2014] FBI investigates alleged Russian cyber attack on Wall Street - Philip Sherwell
[02.09.2014] Three early warning signs that you've fallen victim to identity theft - Kate Palmer
164. Tempelman, Daisy G. [2010]

Telefoontaps in Nederland: Wordt Nederland een Politiestaat?
In: Rechtenniews.nl, 14.09.10
165. Tenet, George J. [2001]

Statement door de directeur van CIA voor “Worldwide Threat 2001: National Security in a
Changing World”.
166. Terre des Homes

Webcam KinderSeks Toerisme (WKST) als fenomeen
Sweetie als gezicht van webcam kindersekstoerisme
[04.11.2013] Terre des Hommes onthult internationale zedenzaak: tienduizenden kinderen slachtoffer van
webcam kindersekstoerisme
[12.11.2013] Topman Europol blij met �Sweetie�-onderzoek Terre des Hommes
[15.12.2013] Wereldwijd aandacht voor 'Sweetie'
[16.01.2014] Terre des Hommes juicht internationale actie tegen webcam kindersekstoerisme toe
[04.02.2014] Eerste arrestatie door 'Sweetie'
[14.03.2014] Terre des Hommes vraagt aandacht bij de VN voor Webcam Kindersekstoerisme
167. ThreatPost
[09.11.2010] Tracker: SpyEye Not Yet Zeus-Like In Stature - Chris Brook
[04.03.2011] Zeus Malware Not Dead Yet, New Features Being Added - Dennis Fisher
[10.05.2011] Zeus Source Code Leaked - Dennis Fisher

[08.02.2012] Citadel Malware Authors Adopt Open-Source Development Model - Dennis Fisher
[08.10.2012] Citadel Trojan Updates with Dynamic Config Mechanism that Streamlines Fraud Activity -
Michael Mimoso
[01.02.2013] Citadel Trojan: It’s Not Just for Banking Fraud Anymore - Michael Mimoso
[11.11.2013] IE Zero Day Watering Hole Attack Injects Malicious Payload into Memory - Michael Mimoso
[13.11.2013] Neverquest Banking Malware Gearing Up For Holiday Season - Michael Mimoso
[26.11.2013] Neverquest Banking Malware Gearing Up For Holiday Season - Michael Momoso
[04.09.2014] Neverquest Trojan Adds New Targets, Capabilities - Dennis Fisher
[24.09.2014] Researchers Work to Predict Malicious Domains - Dennis Fisher
[09.10.2014] Rovnix Variant Surfaces With New DGA - Dennis Fisher
168. Time
[16.05.2014] Global Raids Underway Against �Blackshades� Hackers - Massimo Calabresi
[09.06.2014] Report: Devastating Heartbleed Flaw Was Used in Hospital Hack - Sam Frizell
[05.08.2014] Russian hackers have acquired over one billion username and password combinations - Sam
Frizell
[06.08.2014] Everything You Need to Know About the Massive Russian Hack - Sam Frizell
[07.08.2014] The World�s Top 5 Cybercrime Hotspots - Noah Rayman
169. Times, The

[23.08.2008] Striking at the weakest point - Jonathan Richards
[23.08.2008] Thousands of cyber attacks each day on key utilities - Jonathan Richards
[11.08.2010] What’s Missing in the Internet Kill-Switch Debate - Adam Cohen
[02.05.2011] A Call of Duty for Sony - hit hackers back, and harder - Leo Lewis
[19.07.2011] Dangerous Territory
[03.08.2011] Time has come for China to be seen as centre of cybercrime - Leo Lewis
[22.11.2011] Water system was disabled by Russian hackers - Rhys Blakely
[03.03.2012] Worm by Mark Bowden - Murad Ahmed
[11.03.2012] Hackers in ‘all-out war’ with the West
[03.06.2012] The spies who hacked them - Christopher Goodwin
170. Trend Micro

[2012] Russian Undergroud 101 - Max Goncharov
[04.09.2014] The Security Implications of Wearables, Part 1 - David Sancho
[22.09.2013] Risky Links: Layers and Protocols of Internet of Everything Devices - Dianne Lagrimas
[14.10.2014] YouTube Ads Lead To Exploit Kits, Hit US Victims - Joseph C. Chen
171. Trouw
[25.09.2013] Cybercriminaliteit zit straks dicht op de huid - Kristel van Teeffelen
[08.04.2014] Cyberaanvallen vaak via Nederlandse netwerken
[05.08.2014] Russische bende doet grootste internetroof ooit
[06.08.2014] Gevolg datadiefstal nog niet vast te stellen
[08.08.2014] Europol: Russische cybercriminelen gevaar voor internetgebruiker - Floris Bodegraven
172. Tweakers
[10.02.2014] Kabinet maakt straffen voor cybercrime strenger - Joost Schellevis
[13.06.2014] Hackers maken gegevens 650.000 Domino's Pizza-klanten openbaar - Yoeri Nijs
173. Verizon
[2014] Data Breach Investigations Report (DBIR)

174. Volkskrant, De
[15.09.2011] Bezorgde hackers bieden overheid hulp aan
[23.05.2012] Nederland koploper in afluisteren telefoons - Wil Thijssen
[01.06.2012] Bedreiging voor overheden en bedrijven - Wouter Keuning
[29.06.2012] ‘Te weinig kennis en aansturing bij politie over aanpak cybercrime‘
[06.07.2012] Digitale spionage blijft grote dreiging
[04.08.2012] Nederland ‘niet of nauwelijks beveiligd tegen cyberaanval’ - Will Thijssen
[09.08.2012] Computervirus Sasfis gemist door scanners
[10.08.2012] ‘Eén hacker kan heel Nederland platleggen’
[01.11.2012] Nieuw lek onthuld: 13.656 bedrijven zijn ‘eenvoudig’ te hacken - Wil Thijssen
[27.03.2013] Nederlands bedrijf aanstichter van grootste cyberaanval ooit’ - Martijn Baars
[02.10.2013] Smartphone gaat mee naar bed maar wordt niet beveiligd
[26.10.2014] Software 'gijzelt' pc voor 300 euro losgeld - Peter van Ammelrooy
[30.10.2013] Computervirus dat kinderporno toont duikt op
[02.11.2013] Hoe hackers ons in het hart raken - Bard van de Wijer
[04.11.2013] Via virtueel Filipijns meisje 1000 kindermisbruikers getraceerd
[05.11.2013] Virtueel meisje lokt man op zoek naar webcamseks - Willem Feenstra
[16.01.2014] 'Populist wil scoren met de inzet van lokpubers' - Sydney Smeets
[08.04.2014] Heartbleed: ernstig lek in beveiligde internetverbindingen - Thomas van der Kolk
[21.04.2014] NCSC: 50.000 Nederlandse accounts gekraakt bij Duitse datadiefstal
[19.05.2014] ‘VS klaagt China aan wegens cyberspionage’
[10.06.2014] ‘Cybercrime kost Nederland jaarlijks 8 miljard’ - Michael Persson
[01.07.2014] Russen hacken westerse energiebedrijven
[12.07.2014] Onderwereld ontdekt in hoog tempo internet
[06.08.2014] Russische bende verzamelt 1,2 miljard wachtwoorden
[07.08.2014] Bescherm uw wachtwoorden tegen de hackersbende: vijf tips - Thomas van der Kolk
[08.08.2014] Politie gebruikt mogelijk omstreden spionagesoftware - Michael Persson
[08.08.2014] 'Grootste datadiefstal' lijkt marketingstunt - Michael Persson
[12.08.2014] Trapte New York Times in marketingtruc van het schimmige Hold Security? - Michael Persson
[17.08.2014] Rusland woedend over arrestatie van hacker in Amerika
[18.08.2014] Geraffineerde bankrovers veroordeeld voor stelen van 45 miljoen euro
[25.09.2014] Nieuw digitaal lek: 'Gevolgen groter dan bij Heartbleed' - Michael Persson
[27.09.2014] Hoe online coffeeshops een miljoenenomzet draaien - Sybren Kooistra & Jeroen Trommelen
[27.09.2014] 'De crimineel zelf is de zwakke schakel' - Michael Persson & Jeroen Trommelen
[29.09.2014] High online - Xander van Uffelen
[29.09.2014] De overheid heeft onvoldoende zicht op onlinedrugshandel - Xander van Uffelen
[30.09.2014] Hackers stelen trainingssoftware Apache-gevechtshelikopters
[18.10.2014] Cybercriminelen gijzelen computers, PostNL waarschuwt voor nep e-mails - Yoshi Tuk
175. Vrij Nederland

[28.07.2011] Hackersjacht - Harry Lensink & Maurits Martijn
[08.03.2013] Criminele virussen - Harry Lensink & Maurits Martijn
176. Wall Street Journal, The

[17.12.2012] A New, Simpler Malware Outbreak Appears In Iran - Arik Hesseldahl
[16.05.2014] Global Raids Target 'Blackshades' Hacking Ring - Danny Yadron & Christopher M. Matthews
[15.09.2014] FBI to Companies: We Need Your Help on Cybercrime - Ben Dipietro
[09.10.2014] U.K. Businesses Don�t Share Cybercrime Intel With Police, Met Chief Says - Amir Mizroch
177. Warbroek, Boudewijn [2010]

007 loert mee

In: Binnenlandsbestuur, 2.4.2010
178. Washington Post, The

[10.08.2011] Maintaining the integrity of the Web - Dominic Basulto
[03.11.2011] In a world of cybertheft, U.S. names China, Russia as main culprits - Ellen Nakashima
[25.11.2011] Opinions The pervasive cyberthreat that goes unchallenged - Jack Goldsmith
[03.06.2012] Code wars
[04.06.2012] Cyber search engine Shodan exposes industrial control systems to new risks - Robert O’Harrow
[26.07.2012] Stockpiling against cyberattacks
[12.10.2012] Cyberattack on Mideast energy firms was among most destructive, Panetta says - Ellen Nakashima
[27.11.2012] CyberCity allows government hackers to train for attacks - Robert O’Harrow Jr.
[19.01.2013] Pentagon to boost cybersecurity force - Rick Wilking
[05.05.2014] Inside the global 'sextortion' ring busted in the Philippines
[19.05.2014] International crackdown targets malware that infected half a million computers - Andrea Peterson
[20.05.2014] 5 scary things about the �Blackshades� RAT
[20.05.2014] Blackshades: 'A frightening form of cybercrime' revealed [video]
[29.05.2014] Want to become a successful cybercriminal? Get an MBA - Andrea Peterson
[02.06.2014] DOJ disrupts malware operations [video]
[09.06.2014] Report: Cybercrime and espionage costs $445 billion annually - Ellen Nakashima & Andrea Peterson
[07.08.2014] The growing scourge of cybercrime demands action from Congress - Editorial Board
[02.09.2014] Leaked nude celebrity photos: When a cybercrime becomes a sex crime - Gail Sullivan
[04.09.2014] The Switchboard: Hackers may have hit over 99 percent of Home Depot stores - Brian Fung
[11.09.2014] What�s really driving cyberattacks against retailers - Andrea Peterson
[18.09.2014] 43 accused of running cybersex ring in Philippines
179. Washington Times, The

[28.12.2004] Romania becoming hub for cyber-crime
[17.09.2007] Cyber crooks more inventive
[14.08.2008] States seen as weak on cybercrime
[26.10.2010] Hackers shopping malware network - Shaun Waterman
[20.05.2011] US Secret Service helps Estonia fight cybercrime
[03.11.2011] US report blasts China, Russia for cybercrime - Lolita C. Baldor
[29.06.2012] Cybercrime disclosures rare despite new SEC rule - Richard Lardner
[13.09.2012] From brand new laptop to infected by pressing �on� - Richard Lardner
[12.02.2013] Spain busts �ransomware� cybercrime gang - Alan Cendenning
[20.02.2013] Commercial cyberspying and theft gives rich payoff - Joe McDonald
[11.03.2013] White House calls out China on North Korea and cybercrime - Guy Taylor
[09.05.2013] Hackers sell out and go corporate as cyber crime becomes shift work - Shaun Waterman
[23.07.2013] Cybercrime costs the U.S. economy billions of dollars annually: study - Shaun Waterman
[17.04.2014] Cyber cops: Target hackers may take years - Bree Fowler
[16.05.2014] Man gets 20 years for role in cybercrime syndicate
[19.05.2014] FBI: BlackShades infected half-million computers - Larry Neumeister & Toby Sterling
[28.05.2014] Public-private survey finds cybercrime on the rise - Martha Mendoza
[02.06.2014] U.S. indicts notorious Russian hacker - Kelly Riddell
[08.10.2014] FBI agent: Cybercrime among greatest threats to US - M.L. Johnson
[24.10.2014] Brazen gangsters show how cybercrime pays - Shaun Waterman
180. Webwereld
[14.01.2004] Politicus weg na beschuldiging cybercrime
[19.05.2008] Nederland voert oorlog tegen cybercriminaliteit op - Brenno de Winter
[01.02.2010] China hackt Britse bedrijven met usb-sticks - Sander van der Meijs
[23.08.2010] Cybercrime in Nederland groeit exponentieel
[05.12.2010] ‘Chinese hackers hebben broncode Windows’ - Udo de Haas
[14.06.2010] Grote datadiefstal bij IMF
[04.06.2011] Onverschilligheid zorgt voor golf aan cybercrime
[01.07.2011] EC weigert inzage in cybercrimeverdrag met VS - Brenno de Winter
[26.10.2011] Massale cyberaanvallen treffen Japan - Andreas Udo de Haes

[01.11.2011] Nucleaire en chemische industrie onder vuur - Andreas Udo de Haes

[23.01.2012] Israelier hackt opnieuw duizenden Facebookaccounts - Bas Bareman
[08.02.2012] Regering houdt aantal online taps geheim - Brenno de Winter
[15.03.2012] Cybercrime en preventie vs. repressie - Arjen Kamphuis
[19.03.2012] 'Nederland moet autonomie opgeven tegen cybercrime' - Ren� Schoemaker
[06.04.2012] 'Cybercops lappen internationale wetten aan laars' - Ren� Schoemaker
[10.04.2012] ‘Cybercrime kost Nederland 10 miljard per jaar’ - Chris Koenis
[11.05.2012] DNB: Banken moeten meer doen tegen internetfraude - Ren� Schoemaker
[18.06.2012] VS: 'Cybercrime ernstiger dan Al Qaeda' - Antone Gonsalves
[05.08.2012] ‘Cyberspionage verschuift naar bedrijven’ - Jasper Bakker
[11.08.2012] 5 fasen in de Citadel/Dorifel strijd - Adreas Udo de Haes
[20.09.2012] Drive-by is uit, spear-exploiting is in - Jasper Bakker
[15.08.2012] Virus richt schijnwerper op schimmig botnet - Henk-Jan Buist
[13.09.2012] Nieuw botnet nauwelijks aan te pakken - Henk-Jan Buist
[24.08.2012] ‘Bootsectorwissende Shamoon slaat morgen weer toe’ - Henk-Jan Buist
[28.09.2012] Cyberinbraak bij beheerbedrijf energienetwerken - Andreas Udo de Haes
[18.10.2012] Kritieke zero-day gaten doen jarenlang dienst - Henk-Jan Buist
[20.10.2012] HP wil groot beveiligingslek stilhouden - Henk-Jan Buist
[30.10.2012] ‘Regeerakkoord vrijbrief voor hackplannen Opstelten’ - René Schoemaker
[15.11.2012] NCSC: NUON-phishers al maanden bezig - Jasper Bakker
[21.12.2012] Eén Citadel-botnet bevat 143.000 Nederlandse pc’s - Henk-Jan Buist
[08.01.2013] Maker Blackhole bouwt luxe hackertool voor $10.000 - Henk-Jan Buist
[11.01.2013] Cybercrime Centre start met financiële zorgen - René Schoemaker
[14.02.2013] Politie en NCSC laks na hack duizenden bedrijven - Andreas Udo de Haes
[02.03.2013] Bedrijven bang om cybercrime-info te delen - René Schoemaker
[04.03.2013] Vele gezichten van de DDos-aanval - Karine de Ponteves
[05.03.2013] Overzicht van professionele hackerstools
[05.03.2013] Prijzen voor botnets kelderen door groot aanbod - René Schoemaker
[05.03.2013] Team High Tech Crime werft wederom 30 rechercheurs - Bas van Essen
[07.03.2013] Wereldkaart showt live cyberaanvallen - Chris Koenis
[16.03.2013] Georganiseerde misdaad gaat volledig in cybercrime - Ren� Schemaker
[27.03.2013] Nederlanders achter grootste DDoS-aanval ooit - Adreas Udo de Haes
[27.03.2013] OM onderzoekt Nederlandse link DDoS-aanval - Adreas Udo de Haes
[30.05.2013] Capaciteit politie te laag voor bestrijding cybercrime - Chris Koenis
[17.06.2013] Hackers helpen harddrugsbende havencontainers te stelen - Jasper Bakker
[14.10.2013] EU: schade door cybercrime is 290 miljard euro - Chris Koenis
[29.10.2013] Banken zijn bang voor infoplicht over cybercrime - Ren� Schoemaker
[13.12.2013] Rotterdamse seriehacker blijkt Ibn Ghaldoun-examenlekker - Adresas Udo de Haes
[03.03.2014] Oplichting via internet neemt toe - Ren� Schemaker
[19.05.2014] Ook Nederlandse politie-invallen om Blackshades - Chris Koenis
[24.05.2014] Ministerraad akkoord met hogere straffen cybercrime - Tonie van Ringelestijn
[09.06.2014] Cybercrime kost Nederland duizenden banen per jaar - Henk-Jan Buist
[09.06.2014] Wat kost cybercrime je bedrijf nou �cht? - Henk-Jan Buist
[13.07.2014] Recherche richt pijlen op cybercrime - Tonie van Ringelestijn
[05.08.2014] Cybercrime is goedkoop; tijd om te investeren - Tony Bradley
[30.10.2014] Opstelten praat 'illegale' politiehack goed - Andreas Udo de Haes
181. WODC (Wetenschappelijk Onderzoek- en Documentatiecentrum)

[2012] Veiligheid in cyberspace
Boom: Den Haag.
182. Wikileaks
[01.12.2011] SpyFiles 1

[08.12.2011] SpyFiles 2
[04.09.2013] SpyFiles 3
[15.09.2014] SpyFiles 4
183. Wikipedia
Cybercriminaliteit
184. Williams, Phil [2001]

Organized Crime and Cybercrime: Synergies, Trends, and Responses
In: Global Issues
185. Wired
Archive: Cybercrime
[03.05.2000] Cybercrime Solution Has Bugs - Declan McCullagh
[06.02.2001] The Greatest Hacks of All Time - Michelle Delio
[05.03.2003] Cybercrime Follows Money Trail - Joanna Glassner
[12.12.3004] They’ve Got Your Number ... - Annalee Newitz
[27.03.2006] Cybersquatters Try New Tactics - Jacob Ogles
[28.07.2006] Confessions of a Cybermule - Kim Zetter
[15.09.2006] Cybercrime Is Getting Organized - Reuters
[27.12.2006] Prospects for CyberCriminality, 2007 - Bruce Sterling
[22.09.2007] Fake Factoid Virus: �Cybercrime More Lucrative Than Drug Trade� - Kevin Poulsen
[05.09.2008] Israeli Hacker ‘The Analyzer’ Suspected of Hacking Again - Kim Zetter
[30.09.2008] ‘The Analyzer’ in U.S. Provisional Custody in Canada - Kim Zetter
[13.10.2008] Cybercrime Supersite �DarkMarket� Was FBI Sting, Documents Confirm - Kevin Poulsen
[22.12.2008] One Hacker's Audacious Plan to Rule the Black Market in Stolen Credit Cards - Kevin Poulsen
[24.03.2009] ‘The Analyzer’ Hack Probe Widens; $10 Million Allegedly Stolen From U.S. Banks - Kim Zetter
[25.08.2009] ‘The Analyzer’ Pleads Guilty in $10 Million Bank-Hacking Case - Kim Zetter
[31.12.2009] The Decade�s 10 Most Dastardly Cybercrimes - Kevin Poulsen
[12.02.2010] Record 13-Year Sentence for Hacker Max Vision - Kevin Poulsen
[12.04.2010] Take From ATM Malware Caper Exceeded $200,000 - Kim Zetter
[27.05.2010] Five Alleged Money Mules Indicted in Bank Theft - Kim Zetter
[30.09.2010] U.S. Charges 37 Alleged Mules and Others in Online Bank Fraud Scheme - Kim Zetter
[01.10.2010] 5 Key Players Nabbed in Ukraine in $70-Million Bank Fraud Ring - Kim Zetter
[14.01.2011] Security Researcher, Cybercrime Foe Goes Missing - Kim Zetter
[14.01.2011] Security Researcher, Cybercrime Foe Goes Missing - Kim Zetter
[31.01.2011] How to Hack an ATM - Nick Veronin
[31.01.2011] Your Guide to Crimeware Apps - Noah Shachtman
[31.01.2011] How a Remote Town in Romania Has Become Cybercrime Central - Yudhijit Bhattacharjee
[22.02.2011] Book Excerpt: Kingpin � How One Hacker Took Over the Billion Dollar Cyber Crime
Underground - Kevin Poulsen
[15.06.2011] Hack hack hack hack hack hack - Bruce Sterling
[05.10.2011] How the M00p Malware Gang Was Brought Down - Kim Zetter
[19.11.2011] Anonymous Hacks Back at Cybercrime Investigators - Quinn Norton
[20.11.2011] In Las Vegas Courtroom, First Ever Cybercrime RICO Trial Begins - Kevin Poulsen
[10.05.2012] The 2012 Cyber Attacks Timeline Master Index - Bruce Sterling
[05.07.2012] ‘The Analyzer’ Gets Time Served for Million-Dollar Bank Heist - Kim Zetter
[01.08.2012] Does Cybercrime Really Cost $1 Trillion? - Peter Mass & Megha Rajagopalan
[07.09.2012] Sleuths Trace New Zero-Day Attacks to Hackers Who Hit Google - Kim Zetter
[25.10.2012] Cybercrime: Mobile Changes Everything — And No One’s Safe - Markus Jakobsson
[05.11.2012] Russian Underground Offers Cybercrime Services at Dirt-Cheap Prices - Ian Steadman

[12.11.2012] Symantec predicts cyber crime developments in 2013 - Bruce Sterling

[15.11.2012] Kill the Password: Why a String of Characters Can’t Protect Us Anymore - Mat Honan
[15.11.2013] Cyber Crime and Financial Crime: The Two Become One - Paul Henninger
[04.12.2013] Cybercrime, Security, and the Risks of the Future - Peter Cochrane
[09.12.2013] Guilty Verdict in First Ever Cybercrime RICO Trial - Kevin Poulsen
[28.01.2014] Managing Threats, Costs of Cybercrime Becoming a �Normal� Market Condition - John
Zurawski
[03.04.2014] California Is the Top U.S. Target for Cybercrime - Julie Myhre
[11.07.2014] Turning the Tide Against Cybercrime: The Imperative for Investment in Robust Security - Yo
Delmar
[19.08.2014] How to Save the Net: A CDC for Cybercrime - Peter W. Singer
[14.10.2014] Cybercrime: The Next Entrepreneurial Growth Business? - Steve Durbin
186. WorldCrunch
[09.03.2012] And If The Internet Went Black? - Ulrich Clau
[17.12.2012] Welcome To The Deep Web: The Internet's Dark And Scary Underbelly - Pablo Albarrac�n &
Christopher Holloway
[22.09.2014] Where The Web Thugs Are: Inside Russia's Cyber Underworld - Mehdi Atmani
187. Wiley, Brandon [2002]

Curious Yellow: The First Coordinated Worm Design
188. World Economic Forum

[2011] Global Agenda Council on Organized Crime
[25.01.2012] Cybercriminals� main commodity is personal data - Robert Waiwright
[18.05.2012] What if there was a global cyber pandemic? - Robert Madelin
[31.07.2012] Is free trade enabling cyber crime? - Ernesto U. Savona
[03.09.2012] The open-source policing of cybercrime - Barmak Meftah
[15.11.2012] How can we prepare for a new era of cyberattacks? - Nigel Inkster
189. Woude, Maurice R. van der [2011]

Een heldere kijk op Cloud Computing.
Renkum: Nobel.
190. Xinhuanet
[13.12.2006] Experts predict more Internet crime in 2007
[08.02.2010] Biggest hacker training site shut down in China
[08.02.2010] China seizes leading hacker training website
[21.05.2012] Public demanding law on cyber security: survey
[29.05.2012] China calls for unified rules to counter cyber crime
[26.07.2012] Cybercrime flourishes in new areas - Zhang Yan & Xu Jingxi
[30.05.2014] Sydney woman cons lonely men of millions
[11.07.2014] U.S. denies involvement in arrest of Russian MP's son in Maldives
[12.08.2014] Austrian cybercrime on the increase in 2013: report
[18.09.2014] EU helps Croatia fight cybercrime
[25.09.2014] Experts warn of growing cyber threats on privacy
191. YouTube
[14.09.2007] Cyber Crime Toolkits [4:40] - Jesse Hirsch (CBCNews)
[13.07.2010] Hacking the Future [14:26] - Paul Pablos Holman (TEDx Talk)
[22.10.2010] Hacking Work [17:28] - Josh Klein (TEDx Talk)

[14.02.2011] Pest eens een internetfraudeur [24:38]

[25.05.2011] Facts about cybercrime [7:06]
[06.09.2011] Cyber Security [2:47] - Paris Kaskas (Symantec)
[12.04.2012] High frequency trading and the new algorithmic ecosystem [17:42] - Sean Gourley (TEDx
Talk)
[29.05.2012] Cybercrime goes mobile [4:43] - Rik Ferguson (TrendMicroEurope)
[17.11.2012] The Hidden Internet - Exploring The Deep Web [30:21] - Geekblogtv
[25.01.2013] Inside Story - Cyber crimes: The tip of the iceberg [25:00] - Al Jazeera
[31.01.2013] Confessions of a Cyber Spy Hunter [20:48] - Eric Winsborrow (TEDx Talk)
[12.02.2013] (EC3) Opening of the European Cybercrime Centre at Europol [35:01] - EUROPOLtube
[14.02.2013] Cyber Crime animated [4:48] - Rushikesh Salgaonkar
[28.02.2013] The Lifecycle of Cybercrime [30:20] - Nicholas Percoco & Erik Rasmussen (Keynote RSA
Conference)
[25.03.2013] Cybercrime [2:41] - Europese Commissie
[03.05.2013] Android Framework for Exploitation : A Framework to find and assess vulnerab [16:14] -
Aditya Gupta
[06.05.2013] 25 Biggest Cyber Attacks In History [14:07]
[12.05.2013] Hacking Business [11:58] - Chris Drake (TEDx Talk)
[12.08.2013] TOR is Safe No More! [2:48]
[16.09.2013] Everyday cybercrime - and what you can do about it [17:26] - James Lyne (TEDx Talk)
[01.03.2014] The Hidden Internet - Exploring The Deep Web [14:35] - Takedownman
[11.03.2014] Hacking 101 [15:36] - Frank Heidt (TEDx Talk)
[05.04.2014] Why do we call it cyber CRIME [13:54] - Gary Warner (TEDx Talk)
[15.06.2014] The dark world of cybercrime - South2North (Aljazeera)
[04.07.2014] Why I teach people how to hack [16:17] - �mir Vigf�sson (TEDx Talk)
[08.07.2014] Welcome to the Cybercrime Center [5:0] - Microsoft Digital Crimes Unit
[08.07.2014] Microsoft Digital Crimes Unit Overview [2:24] - Microsoft Digital Crimes Unit
192. Zittran, Jonathan [2008]

Tbe Future of the Internet and How to Stop It.
New Haven: Yale University Press.
Home Onderwerpen Zoek Over ons Doneer Contact
25 January, 2015
Eerst gepubliceerd: Oktober, 2014

2SocioSite: CYBERCRIME

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2SocioSite: CYBERCRIME

Uploaded by

Copyright:

Available Formats

SocioSite: CYBERCRIME 11-01-18 01&12

Home Onderwerpen Zoek Over ons Doneer Contact

CyberCrime en het duistere internet

dr. Albert Benschop

Internet als crimineel walhalla Financiële CyberManipulatie

http://www.sociosite.org/cybercrime.php Pagina 1 van 222

Kwetsbare digitale boezem

“Cyberwapens zijn de gevaarlijkste innovatie Cybercriminaliteit moet primair worden

Internet als crimineel walhalla

Slagschaduw van digitale revolutie

Door de exponenti�le groei van informatie- en communicatietechnologi�n worden veel

http://www.sociosite.org/cybercrime.php Pagina 2 van 222

de ongekende mogelijkheden van informatie- en communicatiesystemen (internet specific crime).

Landen met een geavanceerde internet infrastructuur en internet-gebaseerde economie en

Grote vari�teit aan vormen van cybercrime:

http://www.sociosite.org/cybercrime.php Pagina 3 van 222

http://www.sociosite.org/cybercrime.php Pagina 4 van 222

Cyberterroristen gebruiken om hun gewelddadige aanslagen op civiele doelen voor te bereiden

http://www.sociosite.org/cybercrime.php Pagina 5 van 222

Cyberoorlog, cyberspionage, cyberterrorisme, cybercriminaliteit, cyberactivisme en

CyberActivisme Articuleren van maatschappelijke Activistische propaganda: aandacht vragen voor

CyberCriminaliteit Illegale zelfverrijking: geldkopperij Opportunistisch, niet ideologisch, niet strategisch:

http://www.sociosite.org/cybercrime.php Pagina 6 van 222

en, en door concurrerende prioriteiten.

CyberSpionage Verwerven van informatie over Clandestien penetreren in vijandige informatiesystemen

CyberOorlog Vernietigen of beschadigen van Strategisch en niet opportunistisch: doelwitten bepalen,

Internet is geen echt veilige plek. Ons leven in cyberspace is extreem

Grondslag en vormen van cybercrime

Voordelen van cybercriminelen

4. directe cybotage: Hardware vernietigen met software.

http://www.sociosite.org/cybercrime.php Pagina 7 van 222

De digitale informatie en communicatie zijn een basistechnologie geworden van moderne

http://www.sociosite.org/cybercrime.php Pagina 8 van 222

Criminaliteit is technologie gedreven

Eigenaardigheden van cybercrime

Cybercrime wanneer mensen daadwerkelijk inbreken in computersystemen en dan de interne

http://www.sociosite.org/cybercrime.php Pagina 9 van 222

maar ook om liquidaties te regelen [Nationale Dreigingsbeeld 2012].

Cybercriminaliteit voltrekt zich in een andere wereld: de cyberwereld. Daarbij is de fysieke

3. Programmacode als inbraakijzer

4. Geen fysieke sporen

http://www.sociosite.org/cybercrime.php Pagina 10 van 222

daarvoor zelf ook geen exploitatiemethodiek te ontwerken.

6. Crimineel werktuig voor iedereen toegankelijk

7. Complexiteit en strategisch overzicht

http://www.sociosite.org/cybercrime.php Pagina 11 van 222

9. Attributieprobleem: loochenbaarheid en strafbaarheid

In cyberspace loopt de verdediging structureel achter op de criminele aanval:

Attributieprobleem belemmert afschrikking

http://www.sociosite.org/cybercrime.php Pagina 12 van 222

beperkte kennis van het strafrecht hebben [Guitton 2012].

Aan gene zijde van nationale grenzen: Schengen-akkoorden

10. Statische verdediging werkt niet

http://www.sociosite.org/cybercrime.php Pagina 13 van 222

In cyberspace vindt een permanente wedloop plaats tussen criminelen en rechtshandhavers.

De meest doorslaggevende strategische factor in de ontwikkeling van cybercrime is de toegang

Cybercriminele bendes plaatsen advertenties op de zwarte internetmarkt om talentvolle

11. Kunst van de misleiding

Cybercriminelen maken gebruik van de mogelijkheden

http://www.sociosite.org/cybercrime.php Pagina 14 van 222

12. Geen schone misdaad

Traditionele criminelen gebruikten wapens, breekijzers,en explosieven om een buit te

Kwetsbaarheid In cyberspace bestaan geen veilige havens of verdedigbare grenzen.

Lage toegangskosten Verspreiding van inbraaksoftware is oncontroleerbaar. Hierdoor niet alleen