Bizarre bankoverval: cyberdieven pinnen 45 miljoen dollar
Een verhaal waar ongetwijfeld een film over wordt gemaakt.
Het nieuwe plan van minister Opstelten om de politie terug te laten hacken is onzalig, meent computerveiligheidsdeskundige Jaap-Henk Hoepman. Maandag verzond minister Opstelten van Veiligheid en Justitie een brief aan de Tweede Kamer over zijns inziens noodzakelijke nieuwe strafrechtelijke opsporingsbevoegdheden op het Internet. Een belangrijk onderdeel daarvan is de mogelijkheid om ‘terug te hacken’ in de strijd tegen cybercrime. De politie moet kunnen inbreken op computers in binnen- en buitenland, om (spionage) software te installeren, gegevens te doorzoeken, ontoegankelijk te maken of te verwijderen. De Tweede Kamer heeft inmiddels laten weten dit plan te ondersteunen. Is dit verstandig? De minister constateert dat traditionele opsporings- en handhavingsmethoden minder toereikend worden tegen zaken als botnets en verspreiders van kinderporno. Cybercriminelen gebruiken encryptie voor het versleutelen van hun communicatie. Bovendien gebruiken ze systemen als Tor om communicatiepaden te verbergen. Daardoor is het vaak lastig om te bepalen in welk land een bepaalde computer zich bevind. Het is dan onduidelijk aan welk land een vraag om rechtshulp moet worden gestuurd. De criminelen blijven zo buiten schot. Dat is een beetje eenzijdige voorstelling van de werkelijkheid.
Een verhaal waar ongetwijfeld een film over wordt gemaakt.
De wereld vóór God – Filosofie van de oudheid, geschreven door Kees Alders, op Sargasso beter bekend als Klokwerk, biedt een levendig en compleet overzicht van de filosofie van de oudheid, de filosofen van vóór het christendom. Geschikt voor de reeds gevorderde filosoof, maar ook zeker voor de ‘absolute beginner’.
In deze levendige en buitengewoon toegankelijke introductie in de filosofie ligt de nadruk op Griekse en Romeinse denkers. Bekende filosofen als Plato en Cicero passeren de revue, maar ook meer onbekende namen als Aristippos en Carneades komen uitgebreid aan bod.
Mensen zijn gehecht aan hun dreigingen.
Vorige week verschenen er berichten in de krant over cyberaanvallen op en van het Nederlandse leger. Ik werd gebeld door een journalist die vroeg: ‘Is het mogelijk om heel Nederland plat te leggen met een cyberaanval?’ Die vraag krijg ik ongeveer een keer per maand.
Het is een onderwerp waar overdrijving de norm is geworden. Degene met de meest levendige fantasie, domineert het debat. Voor alle duidelijkheid: het lijkt me zinnig dat het leger haar systemen kan verdedigen en, binnen militaire operaties, de systemen van tegenstanders kan aanvallen. Maar veel zaken die nu onder het kopje ‘cyberoorlog’ worden geschaard, zijn marginale vormen van criminaliteit of activisme.
Laatst was ik te gast bij de VVD. Twee Kamerleden en tiental andere partijgenoten wilden zich laten informeren over het onderwerp cyberoorlog. Mijn poging om de overdrijving te bestrijden, stuitte op scepsis. Sprekers verontschuldigden zich telkens eerst voor het feit dat ze niet deskundig waren, om vervolgens mij ervan te willen overtuigen dat er heel ernstige dreigingen waren. De kennisoverdracht verliep in omgekeerde richting.
Op een gegeven moment sloeg de scepsis om in irritatie. Een jonge vrouw, waarvan later bleek dat ze als juriste aan de universiteit werkte, zei: ‘Ik vind het, met alle respect, nogal zinloos om te praten over of cyberoorlog wel of niet bestaat. Het lijkt me beter om ervan uit te gaan dat het bestaat.’
Toen begreep ik: mensen zijn gehecht aan hun dreigingen. Die kun je niet zomaar afpakken.
Ergens halverwege de bijeenkomst zei ik: ‘Ik voel me net een holocaust-ontkenner.’
Op weg naar huis, vroeg ik me af aan welke dreigingen ik gehecht ben.
Het spatte vorige week van de blogs en krantenpagina’s af: in Nederland zou jaarlijks voor tien miljard euro aan schade geleden worden ten gevolge van cybercrime. TNO is met een rapport gekomen waaruit dat zou blijken. Tien miljard. Dat lijkt me sterk.
Die tien miljard vormt volgens TNO nog maar een ondergrens, mogelijk ligt de schade ergens tussen de 20 en 30 miljard. De grootste schadepost is inbreuk op auteursrecht: 3,3 miljard euro. Dan volgt spionage (2 miljard) en belasting- en uitkeringsfraude (1,5). Sluitposten zijn afpersing van bedrijven, online diefstal en het stelen van klantgegevens.
Hoe TNO op deze bedragen komt, weet ik niet: het rapport is niet vrijgegeven, we moeten het met het persbericht doen (dat klakkeloos door de media is overgenomen). TNO baseert zich op een onderzoek van het Britse adviesbureau Detica, die wel rapporten online zet, maar welke het is weet ik niet. Daarnaast wordt nog een zwik Nederlandse rapporten aangehaald. Zonder dat ik de inhoud en methodologie van het TNO-rapport ken, plaats ik toch een aantal kanttekeningen.
Ten eerste, er wordt wel veel op het bord van cybercrime geschept. Inbreuk op auteursrecht zal inderdaad een grote kostenpost zijn. Uitkeringsfraude ook wel. Maar is dit cybercrime? Wanneer wordt iets cybercrime? Zodra er een computer in het spel is? Als is ik iemand met het elektriciteitskoord van mijn laptop wurg, is dat ook cybercrime?
De redactie van Sargasso bestaat uit een club vrijwilligers. Naast zelf artikelen schrijven struinen we het internet af om interessante artikelen en nieuwswaardige inhoud met lezers te delen. We onderhouden zelf de site en houden als moderator een oogje op de discussies. Je kunt op Sargasso terecht voor artikelen over privacy, klimaat, biodiversiteit, duurzaamheid, politiek, buitenland, religie, economie, wetenschap en het leven van alle dag.
Om Sargasso in stand te houden hebben we wel wat geld nodig. Zodat we de site in de lucht kunnen houden, we af en toe kunnen vergaderen (en borrelen) en om nieuwe dingen te kunnen proberen.
Harddisk met bewijsmateriaal bleef in de kast liggen omdat agenten ‘m niet aan de praat kregen.
Cybercrime en cyberoorlog zijn op dit moment de hippe termen om als overheid extra middelen en mogelijkheden te verwerven. Als men cybercrime kan combineren met de distributie van afbeeldingen van kindermisbruik (ook wel bekend als kinderporno) is het helemaal prijsschieten. Dan mag bijna alles. Wat daarbij vreemd blijft, is dat al die aandacht gaat naar het distribueren van afbeeldingen, terwijl het toch om die kinderen zou moeten gaan. Ik heb nooit helemaal begrepen hoe die kinderen worden beschermd door het filteren op die afbeeldingen.
Bart Schremer gaf afgelopen week in zijn opiniestuk een overzicht van de vragen waar opsporingsinstanties mee zitten. Enerzijds verwacht de samenleving (of liever het mediasysteem) van wetshandhavers dat alle misdaad onmiddellijk en perfect wordt opgelost, en dan liefst ook nog voor een bescheiden budget. Anderzijds willen de meeste Nederlanders nog steeds liever geen politie-staat naar Noord-Koreaans of Amerikaans model.
Maar wat in alle discussies over toelaatbare opsporingsmethoden, (cr)(h)ackende KLPD-ers en crime-fightende politici ontbreekt, is de vraag waarom cybercrime zo enorm gegroeid is. Het feit dat we veel meer en complexere IT gebruiken zal daar zeker aan hebben bijgedragen. Maar een belangrijke andere factor is de enorme digitale ongeletterdheid onder verreweg de meeste burgers en een extreme technische mono-cultuur op de desktop. Afgezien van wat slappe voorlichtingscampagnes doet de overheid er weinig aan burgers echte kennis en volwassenheid bij te brengen.
Als je al wat langer online zit (=langer dan 15 jaar) is het lastig je voor te stellen dat veel internetgebruikers van vandaag helemaal niet weten hoe een URL in elkaar zit. Met de browsers van vandaag is dat ook niet meer zo nodig. Vaak zie ik mensen een naam van een site in Google intikken (die als homepage ingesteld staat) en daarna doorklikken. En dus voert men ook zonder blikken of blozen bankgegevens in op helpdesk.br.ru/ING, of iets dergelijks. Want het logo stond in de mail en het is toch de helpdesk van de ING? Als mensen het verschil zouden snappen tussen een top level domein en de rest van de URL, kunnen ze zelf waarschijnlijk wel bedenken dat hun ING bank niet in Rusland huist.
Een van de belangrijkste oorzaken van het succes van cybercrim is dus de diepe onwetendheid van de meeste computergebruikers. Deze onwetendheid wordt mede veroorzaakt door een onderwijssysteem dat op trucjes traint in plaats van dat het mensen echt inzicht biedt. Het ‘computerrijbewijs’ is gewoon een cursus MS-Windows & MS-Office en geeft geen enkel inzicht in wat een computer doet of hoe netwerken functioneren. Niet dat iedereen tot systeemprogrammeur hoeft te worden opgeleid, maar en set minimale inzichten (zoals het kunnen ‘lezen’ van een URL) zou al veel leed kunnen voorkomen.
Daarnaast blijft de enorme monocultuur van computersystemen een groot probleem dat de overheid nog steeds actief groter maakt. Zo is het in Nederland vrijwel onmogelijk de middelbare school af te maken zonder toegang tot een systeem met MS-Windows en MS-Office. Een school besturen en gefinancierd krijgen is nog veel moeilijker. Studeren aan veel universiteiten is zonder Google-account in hoog tempo onmogelijk aan het worden en voor het functioneren aan andere instellingen is een Facebook-account verplicht.
De Tweede Kamer, horend de beraadslaging, constateerde in 2002 al dat software een cruciale rol speelde in de kennissamenleving, en dat de aanbodzijde van de softwaremarkt op dat moment sterk geconcentreerd was. De Kamer verzocht de regering dan ook zich maximaal in te zetten om hier verbetering in aan te brengen.
Het zijn de eerste zinnen van de Motie Vendrik over de niet-functionerende markt voor desktopsoftware, die al vrij snel buiten beeld zijn geraakt in alle discussies over PDF/A en welk opensource CMS nou het beste is. Maar het ging dus in eerste instantie om een verstoring van de softwaremarkt, niet de interne bedrijfsvoering van middelbare scholen, gemeentes en agentschappen. Die verstoring oplossen is een veel taaiere klus dan ‘iets met open standaarden doen’.
Hoewel steeds meer rekenwerk in mistige wolken gebeurt, verloopt de interactie met die wolken nog steeds voornamelijk via desktop/laptopsystemen. En de markt voor deze systemen is nog vrijwel net zo gemonopoliseerd als in 2002. Diegene die controle heeft over deze desktops, heeft de facto controle over de informatievoorziening van Nederland. Tot nu toe lijken vooral criminelen interesse te hebben in onze desktops. Het desktoplandschap van Nederland is een extreme software mono-cultuur. Deze mono-cultuur maakt ons kwetsbaar, en de afgelopen tien jaar heeft de overheid vrijwel niets gedaan om deze kwetsbaarheid te verlagen.
De rol van IT voor het van seconde tot seconde functioneren van onze samenleving is de afgelopen jaren echter sterk toegenomen. Ziekenhuizen, havens, vliegvelden, scholen, politiebureaus en ambulance dispatchers? Allemaal kunnen ze alleen functioneren met werkende desktop Pc’s. En die Pc’s draaien vaak Windows zonder de laatste updates. Criminelen of buitenlandse cyberlegers die deze systemen kunnen overnemen of uitschakelen hebben onze samenleving in een wurggreep.
Als cybercrime en wellicht cyberoorlog echt zo belangrijk is, zou het logisch zijn als de overheid een begin maakt met computeronderwijs dat ook echt onderwijst, het zo snel mogelijk afbouwen van onze software-mono-cultuur en het reduceren van de hoge afhankelijkheid van buitenlandse dienstverleners. Op deze gebieden echte stappen zetten heeft meer zin dan nog meer macht geven aan een overheids-apparaat dat daardoor steeds meer totalitaire trekjes krijgt, terwijl de competentie ervan terecht nog zeer ter discussie staat.
Update, terwijl ik de column aan het schrijven was maakte een vermoedelijk Russische crimineel mijn punt nog eens even door 100.000 computers te besmetten via een java kwetsbaarheid en een hack van de website nu.nl. Alle besmette system draaiden MS-Windows. Veel meer details in het post-mortum rapport van Fox-IT.
Kinderen staan online aan risico’s bloot, maar de wijze waarop beleidsmakers in Amerika en Europa die risico’s willen bestrijden, schiet door. Dat meent Simone van der Hof, associate professor regulation of ICTs aan TILT – Tilburg Institute for Law, Technology, and Society.
De vrijheid van jongeren komt onder druk te staan door de technologie. Internet geeft hen vrijheden en kansen die met beide handen worden aangrepen. Bijna allemaal zijn zij via computers en mobiele telefoons online aanwezig. Hun ‘real life’ is onlosmakelijk verweven met hun virtuele doen en laten.
Tegelijkertijd zijn hun online avonturen niet zonder – soms schadelijke – risico’s. Online ontmoeten ze mensen met onzuivere bedoelingen (groomers, fraudeurs etc.) en ook onderling kunnen jongeren elkaar het leven behoorlijk zuur maken door allerlei vormen van ‘cyberharassment’ (cyberpesten, bezemen, etc.). Bovendien vertonen jongeren in de puberteit nu eenmaal experimenteel, risicovol gedrag, ook via Internet, waarvan ze de consequenties vaak niet of onvoldoende overzien.
Het Internet heeft een ijzeren geheugen dus één misstap of onnozelheid en je bent getekend voor het leven. Bovendien is de online impact van je ondoordachte acties enorm doordat – lachwekkende, vernederende, schaamteloze – informatie zich als een veenbrand verspreidt en grenzeloos zichtbaar is.
In Het wereldrijk van het Tweestromenland beschrijft Daan Nijssen, die op Sargasso de reeks ‘Verloren Oudheid‘ verzorgde, de geschiedenis van Mesopotamië. Rond 670 v.Chr. hadden de Assyriërs een groot deel van wat we nu het Midden-Oosten noemen verenigd in een wereldrijk, met Mesopotamië als kernland. In 612 v.Chr. brachten de Babyloniërs en de Meden deze grootmacht ten val en kwam onder illustere koningen als Nebukadnessar en Nabonidus het Babylonische Rijk tot bloei.
Een gastbijdrage van Jan-Jaap Oerlemans, promovendus aan de Universiteit Leiden. Zie ook zijn blog over cybercrime en privacy.
De rechtbank Den Haag heeft in een zaak geoordeeld dat bij het kraken van het wifi-netwerk geen sprake is van het delict computervredebreuk (hacken), zoals vastgelegd in artikel 138ab van het Wetboek van Strafrecht. Dit is naar mijn mening een verkeerd oordeel van de rechter. In de zaak ging het om een scholier van het Maerlant College in Den Haag die via het forum van de website 4chan.org zijn medescholieren met de dood had bedreigd met de volgende tekst:
“Tomorrow I’ll go and kill some peeps from my old school, the Maerlant college in The Hague. I have made arrangements already in the school, so I will be able to make a good getaway. I parked two vehicles next to both of the exits and have been studying the building plans. It will be all over the news soon :)”
Hij plaatste dit bericht online via het wifi-netwerk van zijn buurvrouw.
De verdachte heeft verklaard dat hij de inloggegevens van zijn buurvrouw heeft gekregen omdat zijn internetverbinding wel eens slecht was. De politie heeft bij KPN het IP-adres gevorderd vanwaar het bericht was verstuurd. Hier kwam het IP-adres van de buurvrouw naar boven. De router van de buurvrouw werd inbeslag genomen en hier werden vijf MAC-adressen op gevonden. Twee van de MAC-adressen waren van de laptop en PC van de onschuldige buurvrouw van de verdachte en de drie andere konden niet geïdentificeerd worden.
Wie was Mohammed? Wat dreef hem? In deze vlot geschreven biografie beschrijft Marcel Hulspas de carrière van de de Profeet Mohammed. Hoe hij uitgroeide van een eenvoudige lokale ‘waarschuwer’ die de Mekkanen opriep om terug te keren tot het ware geloof, tot een man die zichzelf beschouwde als de nieuwste door God gezonden profeet, vergelijkbaar met Mozes, Jesaja en Jezus.
Mohammed moest Mekka verlaten maar slaagde erin een machtige stammencoalitie bijeen te brengen die, geïnspireerd door het geloof in de ene God (en zijn Profeet) westelijk Arabië veroverde. En na zijn dood stroomden de Arabische legers oost- en noordwaarts, en schiepen een nieuw wereldrijk.
Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.