1 Waar is de digitale bromsnor? De digitale snelweg is het werkterrein geworden van internetcriminelen. Er gaan miljarden om in cybercrime, maar de Ne...
De digitale snelweg is het werkterrein geworden van internetcriminelen. Er gaan miljarden om in cybercrime, maar de Nederlandse overheid vertrouwt op voorlichting en Bromsnor. Tekst: Remko Ebbers | Foto: Andre van der Heuvel/anp
Maandag 5 juli 2010. Een email van Francesco William: “We have been trying to reach your email address and our messages keep coming back to us as undeliverable. Kindly confirm receipt of this message. Check attachment for the message. It is in txt format and it is virus free. Scan for virus before opening the attachment.” Fransesco wie? “Dit is een typisch geval van een aanval volgens de target of opportunity methode’, zegt Jeroen Herlaars, business unit manager Cybercrime bij Fox-it, een internetbeveiligingsbureau. “Er wordt een onschuldig uitziend mailtje de wereld in gestuurd naar duizenden adressen om op de een of andere manier aan gegevens te komen. Het 11
FORUM #14/22.07.10
maakt de verzender niet uit wie er reageert, het gaat hem om kwantiteit. E-mailadressen die verkocht kunnen worden voor bijvoorbeeld spam, maar het gaat ook om gegevens voor creditcardfraude of het kraken van online banktransacties.” Wie reageert naar ‘Francesco’, geeft op zijn minst zijn mailadres weg en wie het tekstdocument opent, loopt kans om een virus binnen te halen dat op zoek gaat naar databasegegevens. Een bestand van miljoenen mailadressen is miljoenen euro’s waard. Daar is dan ook een levendige internationale handel in. Onder cybercrime, criminaliteit via internet, valt alles dat op internet gebeurt en in het echte leven ook niet mag: kinderporno, terrorisme, bedreiging, oplichting, diefstal van gegevens (phishing en pharming in vaktaal) of sabotageacties. Het is een containerbegrip. Zoveel soorten er zijn, zoveel verschillende instanties houden zich er mee bezig. Cybercrime valt alleen al onder drie ministeries: Justitie, Economische Zaken (ez) en Binnenlandse Zaken en Koninkrijksrelaties (bzk). Justitie gaat over opsporing en vervolging. bzk gaat over maatschappij ontwrichtende gebeurtenissen (zoals terrorisme) en ez over een goed functionerende telecom en ict-markt met zelfregulering en preventie. De politie heeft het digitale Meldpunt Cybercrime voor meldingen van kinderporno en terrorisme (afkomstig uit Nederland) op of via het internet. Over andere vormen van digitale criminaliteit geen woord.
weg marktleiderschap Ondernemers hebben nauwelijks te maken met het soort cybercrime waar de politie zich met de website op focust. Zij hebben doorgaans van doen met fraude en (gegevens)diefstal. Worden de Nederlandse webwinkels jaarlijks voor naar schatting 60 miljoen euro opgelicht,
omslag
200 190 180 170 160 150
het echte geld wordt verdiend in de gegevenshandel. Criminelen die databases hacken hebben vrijwel vrij spel in Nederland en de wetgeving is ook nog eens erg gericht op fysieke informatiedragers zoals papier en cd-roms en minder op informatie zelf. De schade die geleden wordt door het stelen (kopiëren) van data kan in de miljarden lopen. Een bedrijf kan zijn marktleiderschap kwijtraken doordat onderzoeksmateriaal wordt gekopieerd. Of opdrachten missen omdat de bid bekend wordt bij de concurrent. “Het hacken wordt vaak niet eens ontdekt”, zegt Jeroen Herlaars. “Als het veel oplevert, willen de aanvallers veel euro’s op het spel zetten om doelbewust een bedrijf te penetreren. En de criminelen zijn zo goed, een wachtwoord houdt ze niet tegen. Ze liften gewoon mee op de beveiligingssystemen en laten nauwelijks sporen achter.” Het enige dat ze nodig hebben is een binnenkomertje. Dat kan een virus zijn op een onschuldig aandoende usb-stick die een werknemer krijgt als relatiegeschenk, of een onoplettende klik op een link in een phishing-mail. “De meeste Nederlandse cybercrime-instanties concentreren zich elk op één of twee verschillende punten”, heeft Joos Lambrechtsen, lid van de werkgroep Fraude en Veiligheid van Thuiswinkel.org, de brancheorganisatie voor webwinkels, gemerkt. “Elke politieregio heeft bijvoorbeeld een eigen prioriteitenlijst. Aangifte doen van internetfraude is altijd mogelijk, maar of er wat mee gebeurt, verschilt per korps. Als je opgelicht wordt, moet je maar hopen dat de politie in de regio waar je bent gevestigd het hoog op de lijst heeft staan.” Daarbij is Lambrechtsen niet ontevreden over de inzet van de agenten, ze komen gewoon kennis tekort. “Ik weet van aangiftes die perfect worden aangeleverd, inclusief Excel-bestand die door de goedwillende politieman wordt overgetikt omdat hij dat bestand niet kan down 12
FORUM #14/22.07.10
loaden.” Cyberbeveiliger Herlaars kan de observatie van Lambrechtsen alleen maar bevestigen. Criminelen op de digitale snelweg moeten bestreden worden door Bromsnor met sabel, fiets en opschrijfboekje.
notice and takedown “Cybercrime is zo’n geavanceerde vorm van criminaliteit geworden, daar moet je specialisten opzetten”, zegt Herlaars. “En dan bedoel ik geen gewone it’ers, maar mensen die hele dagen bezig zijn met het uitproberen van beveiligingssystemen. Dat is echt nodig. Als wij van een bedrijf de opdracht krijgen om hun beveiliging te testen, komen we altijd binnen. Altijd. We beginnen meestal gewoon met zoeken op internet. Wie werkt er bij dat bedrijf, wat is zijn mailadres? We sturen eens een phishing-berichtje. Na een paar dagen zijn we helemaal binnen.” Om digitale misdaad aan te pakken moet wetgeving wellicht een andere grondslag krijgen dan gebruikelijk is in de echte wereld. Herlaars: “Je moet het internationaal aanpakken. Internetcriminelen zijn van nature grensoverschrijdend, ze springen digitaal van plekje naar plekje. De politie zou eigenlijk zo snel mogelijk het spoor terug moeten kunnen volgen op servers die in andere landen staan, zonder veel bureaucratie. Op dat pad krijgen ze op elk tussenstation een schat aan gegevens. De vraag is nu of dat mag, in Nederland is zoiets nu nog computervredebreuk.” De overheid zet nu in op notice and takedown, de provider wordt op de hoogte gesteld en haalt het materiaal weg. Als de provider dat niet doet, is hij aansprakelijk. Volgens Herlaars is dat symboolpolitiek, die de zware jongens niet raakt. “Het is heilloos. Cybercriminelen gaan een dag later verder op een andere server.”
200
‘Diefstal betekent in het Nederlandse recht dat iets ook echt verdwenen is. Bij het kopiëren van gegevens verdwijnt er niets. Het is dus geen echte diefstal’
190 180 170 160 150
Sullivan, Sully ([email protected]): ‘Date July 03/07/2010, Hello, my name is Park Cheng from Hong Kong. I have a business that I want to offer you. This projects worth 22.5 Million Dollars and you will have a 50% share from the total amount. I will give you the full details in my next e-mail and what I need from you. So if you are interested please contact me back at my personal address [email protected]. Mr. Park Cheng’ Het spreekt vanzelf dat ‘Mr. Park Cheng’ niets te maken heeft met Philips of met de Amerikaanse vertegenwoordiger in verlichting Sully Sullivan die met zijn mailadres op internet te vinden is. Maar de business van ‘Mr Park Cheng’ kon wel eens net zo groot zijn als die van de multinational. Volgens de Amerikaanse president Obama werd vorig jaar wereldwijd voor een biljoen (een 1 met 12 nullen) dollar schade aangericht door cybercrime. Dat is meer geld dan er om gaat in drugshandel. In Nederland is het moeilijk om cijfers boven water te krijgen, maar er wordt naar schatting zo’n twee miljard euro verdiend in de vaderlandse drugshandel. Cybercrime bestaat niet in de statistieken, fraude is fraude. Lambrechtsen: “Diefstal betekent in het Nederlandse recht dat iets ook echt verdwenen is. Bij het kopiëren van gegevens verdwijnt er niets. Het is dus geen echte diefstal. En wat is dan de schade?” Zelfs Govcert, de overheidsorganisatie die zich bezighoudt met de digitale veiligheid van de publieke sector, heeft last van informatieschaarste. Uit het onlangs verschenen jaaroverzicht: ‘We hebben geen volledig inzicht in alle incidenten die zich afspelen bij de rijksoverheid, doordat ze niet allemaal bij Govcert worden gemeld. Overheidsorganisaties zijn namelijk niet verplicht ict-incidenten te melden bij Govcert. Het instellen van zo’n meldplicht zou Govcert meer inzicht geven in de risico’s binnen de overheid en zou ervoor zorgen dat de 13
FORUM #14/22.07.10
De praatgroepen Er wordt veel overlegd over cybercrime. Een onvolledig overzicht van de praatgroepen en de instanties die elkaar van informatie voorzien. Het bedrijfsleven mag bij sommige ook aanschuiven. In Nederland: • Ministerie van Binnenlandse • ictu Zaken / aivd • isac • Ministerie van Justitie • opta • klpd • Nationaal Coördinator • govcert Terrorismebestrijding • Nationale Infrastructuur • Maatschappelijk Overleg Cyber Crime (nicc) Betalingsverkeer (werkgroep • scada Veiligheid) In Europa • Europol • Eurojust • Euroscsie • European Network and Information Security Agency (enisa)
• mpscie • escorts • ms3i • centr • neisas
omslag .nl] ilto:securityalerts@ing Van: ING BANK [ma 30 10: 0 201 i ag 28 jun Verzonden: maand N ABN-AMRO N.V.! D acount UPDATE VA EN ING DR : erp erw Ond Lieve Klant,
t is ons beleid van ABN-AMRO N.V. He veiligheidsdepartement het van t bank. e ich onz ber in een en is Dit nteel zijn gebeur er internetfraudes mome rd de vallenen we erd alle nst om u te informeren dat geï k ataban 0 een nieuwe systeem/d uwe Systeem Aangezien maart 31, 201 r te verdelgen, is het nie cto nse eze kw ban e onz in n eite ivit act e frauduleuz u oemd. uwsbrief met fooien die “Voor Uw Veiligheid” gen enkele maandelijkse nie een u die g dit htin t plic Me tfraude. Het is ook onze ver chtoffer van de interne te vermijden vallene sla Internet Oplichter de van n ontvangt kan gebruiken eite ivit act de de hoogte/alarmen van systeem, wij houdt u op n. ppe che afs het en ullen: en bescherm ook u teg de schakel beneden inv gende informatie over r en Speld-Code me num ing Wij vragen dat u de vol ken Kaart Nummer, Uw Re Uw r, me um onn efo Tel Thuisadres, ng te verzekeren. om maximale beschermi eden Gebruik de schakel ben n> late
l van onze n ontvangen; dit is dee binnen vijf (5) werkdage art Ka e uw onder deze s nie gel uw t sre zul eid U alles volgens alle veiligh dat n ere zek ver te beleidsmaken om EN gaat. bank AAN GEEN KOST gen! zodra mogelijk te ontvan Wij hopen uw informatie n, Met vriendelijke groete John busje der versterkte Veiligheidsdepartement ABN AMRO N.V. d Amsterdam, Nederlan
Stad
John busje der versterkte Stad Bovenstaande typische phishing-mail deugt van geen kant natuurlijk. De abn Amro bank die iets verstuurt van een ing-adres? Het lachwekkend slechte Nederlands is een computervertaling en levert de vraag op: wat was de oorspronkelijke Engelse tekst? De knusse aanhef ‘Lieve klant’ is natuurlijk een vertaling van ‘dear customer’. Dan het verzoek om je ‘speld-code’ even te mailen. De computer heeft het woord ‘pin’ opgezocht in het woordenboek en dat vervolgens vertaald naar ‘speld’ en ‘link’ als ‘schakel’. ‘Het is ook onze verplichting die u een enkele maandelijkse nieuwsbrief met fooien die u ontvangt kan gebruiken te vermijden vallene slachtoffer van de internetfraude.’ Een nieuwsbrief met fooien? De computer heeft het woord ‘tip’ vertaald als ‘fooi’. Tips om geen slachtoffer van internetfraude te worden, daar wordt die nieuwsbrief dus geacht over te gaan (!).
the indided solely for the use of tial information and is inten notified that disclosing, ents) contains confiden are chm atta you any ient g recip udin ded This message (incl you have If you are not the inten is strictly prohibited. If m they are addressed. tents of this information vidual or entity to who ions presented in this action based on the con opin or any s g view takin any or that ng note copying, distributi group of @godrej.com. Please & Boyce Mfg. Co. Ltd. r please notify mailadm esent those of Godrej received this email in erro do not necessarily repr Godrej & Boyce Mfg. and es. or virus auth of e the enc of e pres for the email are solely thos il. il and any attachments transmitted by this ema should check this ema age caused by any virus companies. The recipient no liability for any dam pts acce ies pan com Co. Ltd. group of e-mail unless you Please do not print this
really need to.
overheid zich beter kan prepareren op Incident Response. Daarnaast kunnen patronen tussen aanvallen zichtbaar worden, maar vooral op preventief vlak zouden we effectiever kunnen werken.’ Bij Govcert werden over 2009 102 incidenten gemeld. Het nicc (Nationale Infrastructuur Cyber Crime) is illustratief voor de gang van zaken. In dat samenwerkingsverband pompen vier overheidsorganen (waaronder politie en aivd), negen belangrijke economische sectoren en drie nationale en Europese anticybercrime-instanties informatie rond. Het nicc is vooral gericht op voorlichting. En dat is wel een beetje eenzijdig en defensief vindt Jeroen Herlaars van Fox-it. “Je kunt natuurlijk zeggen dat het een probleem van het bedrijfsleven is, dat het bedrijfsleven zelf maar moet oplossen. Dat lijkt een beetje de invalshoek van de overheid te zijn, die is tamelijk passief. Het probleem en de oplossingen worden aan de markt overgelaten. Soms zijn er overschrijdende maatschappelijke belangen. Neem de elektriciteitssector, die is geprivatiseerd, dus commercieel. Maar die speelt een cru14
FORUM #14/22.07.10
ciale rol in de samenleving. Een bedrijf beveiligt zich tot het niveau dat het zelf aan kan. Wie is er verantwoordelijk voor de bv Nederland als daar iets mis gaat?” Wat nodig is om internetcriminaliteit aan te pakken, is één aangiftepunt met gespecialiseerde agenten en een landelijk beleid, een nationale strategie cybercrime. De Europese Raad van Ministers heeft de Europese Commissie gevraagd om te kijken of een nieuwe gecentraliseerde organisatie niet beter is tegen internetcriminaliteit dan de huidige versplintering over diverse agentschappen. Joos Lambrechtsen: “In Brussel wordt gepleit voor een Europese internetwereld terwijl we hier de samenwerking tussen de politieregio’s niet eens rond krijgen.” Bij het ministerie van Justitie staan ze vooralsnog niet in de startblokken om, analoog aan de nationaal coördinator terrorismebestrijding, een nationaal coördinator cybercrime aan te stellen. Justitie-woordvoerder Wim van der Weegen: “Je moet je afvragen of dat in de Nederlandse verhoudingen de juiste oplossing is.”
dik nicolai
column scheer
Losers
De e-mail is ondertekend met ‘John busje der versterkte Stad’. Dat is wel een heel bijzondere naam. Wie de naam stapje voor stapje terugvertaalt, komt uiteindelijk uit bij een oer-Hollandse naam: Jan is ‘terugvertaald‘ als John, ‘van’ is vertaald als ‘kleine bus’, ofwel ‘busje’, ‘voort’ is eerst herschreven als ‘fort’ en vervolgens vertaald als ‘versterkte stad’. De oplossing: Jan van der Voort, die natuurlijk van niets weet. De tekst van de disclaimer onderaan het bericht is gekopieerd van Godrej & Boyce, een grote Indiase holding. Lach niet te hard. Een dag later werd dezelfde mail verstuurd, iets beter vertaald en nu via een zogenaamd abn Amro-adres. De digitale visser had snel bijgeleerd. Er is overigens ook een Rabobank-versie gesignaleerd.
Zonder na te denken pakte ik een rode koffiekop om onder de Senseo te zetten. Op het laatste moment bedacht ik me en pakte ik een oranje kop. Het was op de dag van de wedstrijd en dan neem je geen risico’s meer. De oranje trainingshesjes van Zestienhoven 6 – ik had wasbeurt – heb ik die dag bij wijze van versiering teruggehangen aan de waslijn. De hesjes waren al droog en hadden moeten wijken voor nieuwe was, maar zoals gezegd: geen risico’s. Of had ik ze überhaupt niet moeten wassen? Gelukkig bleef het bijgeloof bij mij beperkt tot de finaledag, want je kunt gemakkelijk overdrijven. Los van het feit dat het getuigt van vergaande arrogantie om te denken dat jouw gedrag van invloed is op de belangrijkste wedstrijd ter wereld, bijna 9.000 kilometer hier vandaan. Maar goed, het heeft allemaal niet geholpen. Robben had moeten scoren of moeten vallen, twee vaardigheden die hij normaal wel onder de knie heeft. Van Persie had zichzelf moeten wisselen in een vlaag van opofferingsgezindheid. Aan de andere kant mochten we blij zijn met maar één keer rood.
(Met dank aan vaagtaal.nl voor het puzzelwerk)
Op weg naar de finale was het teamverband geroemd. Dit waren misschien niet allemaal sterren, maar er stond een team. In de finale zelf was echter meer nodig: individuele excellentie. Een kwaliteit die haaks staat op de hier gangbare gedachte dat je niet te veel boven het maaiveld moet uitsteken en je al gek genoeg doet als je gewoon doet. Bij de eerdere wk-finales was ik 8 respectievelijk 12 jaar oud. Ik kan me er weinig meer van herinneren qua beleving. Gebrek aan focus op die leeftijd. Nu, op mijn 44ste, was ik er wel helemaal bij. Als ik weer 32 jaar moet wachten op een nieuwe kans, ben ik 76. Over focus maak ik me dan geen illusie meer. Staar ligt meer voor de hand.
De versnippering van instanties die zich bezighouden met cybercrime zegt volgens Herlaars iets over de discussie die niet wordt gevoerd. “Wat vinden wij eigenlijk met zijn allen van internet? Hoe strategisch is het net voor onze samenleving? In Nederland ontbreekt een visie daarop. Die is in bijvoorbeeld de vs veel duidelijker. President Obama heeft een ‘cybertsaar’ benoemd, speciaal voor veiligheidsvraagstukken van het world wide web. Onlangs werd wat prematuur een plan bekend waarin Obama een rode knop krijgt, om in geval van een cyberaanval een vitaal deel van het internet af te sluiten. Of dat haalbaar is en of dat moet, vind ik op zich niet zo belangrijk. Maar díe discussie missen we hier.”
Zover is het nog niet. Met Oranje weer tweede en Sparta gedegradeerd moet ik het nu hebben van een nieuw seizoen Zestienhoven 6 hebben. Met een uitgedunde selectie, dus dat belooft wat. Maar eerst ga ik op vakantie. Gelukkig niet naar Spanje, want daar ben ik vorig jaar al geweest. Nee, naar Italië. Losers onder elkaar. Merk ik bij terugkeer wel of we al een kabinet hebben.