Het is bijna een encyclopedie van cybercrime feiten, zoveel voorbeelden gebruikt Marc Goodman in zijn nieuwe boek Future Crimes om zijn punt te maken over criminaliteit van vandaag en morgen. En hoewel hij van nature optimistisch is, is zijn punt vooral: “You ain’t seen nothing yet”.
Dit boek geeft als geen ander weer hoe de exponenti?le groei van?informatie, software, het internet en internetdingen gepaard gaat met een onontkoombare exponenti?le groei van criminaliteit. De hamvraag is dan: is het 5 voor 12 of hebben we nog even?
Het boek bevat dus teveel om op te noemen, maar we doen een poging tot het delen van interessante cases en inzichten, zeker daar waar het social media betreft (waar we in het volgende blog meer op in gaan).
Singularity & misdaad
Met exponenti?le groei is ook exponentieel veel geld gemoeid. Hackers doen het allang niet meer voor de ‘lulz‘; hun werk wordt met grof geld of?macht beloond. Het Duitse AV-Test schatte in 2010 nog dat er zo’n 49 miljoen stukjes malware bestaan, McAfee had het in 2011?over twee miljoen nieuwe per maand, en Kaspersky Lab liet in de zomer van 2013 weten al 200.000 nieuwe malware samples per dag te zien. De ellende groeit ook exponentieel.
Gordon Moore (voormalig Intel topman) voorspelde in 1965 al deze exponenti?le groei: het aantal transistors op een?chip zou elk jaar verdubbelen. Dit principe is iets aangepast (per 18 maanden tot 2 jaar) maar staat tot op de dag van vandaag nog steeds en is ook wel bekend als de wet van Moore. De eerste iPhone bevatte al meer rekenkracht dan de mainframe computers die Apollo 11 naar de maan brachten (40 jaar geleden). De moderne smartphone is duizend keer sneller dan de snelste supercomputer uit de jaren 70 en?een miljoen keer goedkoper.
Ook informatie groeit als kool. Google verwerkt dagelijks meer dan 24 petabytes door de vele zoekopdrachten, mails en YouTube-filmpjes. Als die data zou worden uitgeprint op papier zou die stapel papier vanaf de aarde tot halverwege de maan?komen. Toch verwerkt Google (net als de NSA) hooguit 1 of 2% van al het internetverkeer. Elke paar?dagen produceren we evenveel informatie als de mensheid tot de 21e eeuw bij elkaar.
Ook bevat de software op onze apparaten bevat steeds meer code. Had Apollo 11 nog 145 duizend regels code, Microsoft Office 2013 heeft inmiddels 45 miljoen regels code en de Amerikaanse Healthcare.org website zelfs 500 miljoen. Verbaast dat die website vaak gehacked is?
De technologische Singularity, de knie van de exponenti?le curve waarin mensen (zelfs als collectief) de techniek niet meer kunnen begrijpen is daarom dichtbij en volgens Ray Kurzweil?is dat in 2045. Marc Goodman is zelf ook verbonden is aan de Singularity University.
Criminelen uit het Wilde Westen maakten ook al gebruik van technologische ontwikkelingen, toen ging het alleen wat minder snel allemaal. Zo kwamen boeven als Jesse James en Butch Cassidy erachter dat de uitvinding van de trein een handig middel was om aan geld te komen. Voorheen konden ze te paard een individu beroven of hooguit een koets met een paar mensen tegelijk. Maar in een?trein zaten honderden mensen met geld of veel waardevolle spullen handig bij elkaar, terwijl de trein?zich in een voorspelbare lijn vooruit bewoog en een rijschema had dat overal te vinden was. De grootste treinroof?vond plaats?in Engeland, in 1963, waarbij de rovers?2.6 miljoen Britse pond buit maakten. Het internet stelt criminelen?nu in staat om niet honderden, maar duizenden of zelfs miljoenen mensen tegelijk te beroven. In 2013 werden bij Target gegevens van 110 miljoen klanten gestolen, door een 17 jarige jongen uit Rusland. Nog geen jaar later (augustus 2014) werden door een russische hackersgroep zelfs 1.2 miljard gebruikersnamen en wachtwoorden gestolen van 420.000 websites tegelijk.
Digitale zwakheden
Onderzoekers van Imperva en studenten van Technion-Israel instituut hebben in 2012 antivirus tools daarom maar eens aan de tand gevoeld. Wat bleek? Met alle nieuwe binnenkomende malware (oa ook de toename van zero-days) konden virusscanners slechts 5% van de criminele?software vinden. Ook de zgn. ‘time-to-detection rate‘, het verschil in tijd tussen het maken en kunnen detecteren door dan inmiddels geupdate virussoftware neemt gigantisch?toe (het virus Flame is een goed voorbeeld daarvan). Als?het immunsysteem van je lichaam zo zou functioneren zou je in luttele uren hartstikke dood zijn.
De huidige bescherming van onze digitale systemen is alleen gebaseerd op aanvallen uit het verleden. Marc Goodman vergelijkt het met banken die alleen voorbereid zijn op de komst van Bonnie & Clyde, omdat we daarvan weten dat ze al eerder banken hebben beroofd. Meestal kost het maanden voordat bedrijven doorhebben dat er een digitale boef binnen is geweest, en in 92% van de gevallen is het niet de CISO of het beveiligingsteam die het als eerste door heeft. Meestal is een boze klant, een leverancier of?de politie.
De software bevat ook gemiddeld 20 tot 30 foutjes op 1000 regels code.?Foutjes in software worden misbruikt door hackers, maar kunnen in zichzelf ook al vervelend zijn. Zo speelde foutjes in software een rol in de?Deepwater Horizon?ramp?waarbij?11 mensen onkwamen en 4.9 miljoen vaten olie in de golf van Mexico spoelden.
Exponenti?le?misdaadontwikkelingen
Digitale ontwikkelingen maken exponenti?le groei?ook mogelijk voor criminelen die nu wereldwijd kunnen opereren. Zoals het Russische Business Network (RBN), de ShadowCrew?en vele andere groeperingen. Neem bijvoorbeeld een zaak uit 2007 waarin?45 miljoen creditcards van?TJX gestolen werden (hoewel andere schattingen 94 miljoen noemden) met een schade die voorzichtig geschat wordt op $256 miljoen dollar. Daarbij is de indirecte schade met gemak groter dan een miljard, onder andere doordat het vertrouwen de?beurskoers en?verkoop doet teruglopen maar ook?verzekeringskosten en proceskosten voor nieuwe maatregelen er nog bovenop komen.
Kritische infrastructuren zijn ook een gewild doelwit. Zo viel de hacker groep Cutting Sword of Justice de gas- en oliemagnaat Saudi Aramco aan met hun Shamoon virus dat na zorgvuldige injectie via een USB stick als een dolle 30.000 bedrijfscomputers infecteerde. Shamoon wist maar liefst 75% van alle harde schijven te wissen, waardoor het bedrijf nog moeilijk haar werk kon voortzetten.
Was het vroeger anders? Neem?twee moderne helden?die ook als hacker begonnen zijn: Steve Wozniak en Steve Jobs. Zij verkochten als Berkeley student al zgn. ‘blue boxes‘ waarmee je de telefoonmaatschappij kon foppen en gratis door de hele VS kon bellen. Zo zamelden ze geld in voor hun echte creatie: de eerste Apple computer. Kevin Mitnick (hij mocht in gevangenschap geen telefoontje plegen omdat ze bang waren dat hij kernraketten kon activeren door het geluid van een modem?te fluiten) en Kevin Poulsen waren enige tijd later ook dergelijke types. Zij werden toendertijd echter de meest gezochte criminelen van de FBI. Poulsen wist bijvoorbeeld slim een wedstrijdje op de radio te winnen. Hij manipuleerde?alle binnenkomende telefoonlijnen om er zeker van te zijn dat hij de 102e beller zou worden?en de?Porsche 944 S2 ter waarde van $50.000 als prijs mocht komen halen.
Gevaarlijke overheden en bedrijven
Maar Marc Goodman gaat niet alleen op criminele hackers en georganiseerde misdaad. Ook overheden komen aan bod zoals het Britse GCHQ dat de hacktivistengroep Anonymous probeerde aan te pakken met DDOS aanvallen. Iets vaker blijft hij stilstaan bij grootmacht China die volgens de FBI met een leger van zo’n 180.000 cyberspionnen en cyberstrijders naar schatting alleen al op het Amerikaanse Defensienetwerk 90.000 computerhacks per jaar uitvoeren.
China wordt ervan verdacht veel bedrijven aan te vallen; volgens onderzoek komen zelfs 41% van alle aanvallen ter wereld uit dat land.?Ook de media kan daarbij ten prooi vallen. Mandiant deed onderzoek naar de aanvallen in opdracht van de krant The Times en localiseerde de Chinese hackers tot Unit 61398 van het PLA (People’s Liberation Army) met als adres een gigantisch gebouw op Datong Road, Shanghai waar?duizenden mensen werken.
Sinds de onthullingen van Edward Snowden is de sympathie voor de Verenigde Staten ook wat afgenomen. Uit zijn verhalen blijkt dat er op grote schaal cyberaanvallen vanuit de VS worden gevoerd, inclusief?Chinese doelwitten (o.a. China Mobile en de Tsinghua universiteit). Om daar nog een?onderzoek van de Wall Street Journal aan toe te voegen dat aangeeft dat spionage van internetgebruikers ??n van de snelst groeiende sectoren in het bedrijfsleven is.
Terrorisme
En dan wordt het internet door terrorisme experts ook nog een ‘terrorist university‘ genoemd. Dat is goed te zien aan een beweging als ISIS die dankbaar gebruik maken van beschikbare bronnen als The Mujahideen Poisons Handbook, Encyclopedia of Jihad. Ook Dzhokhar Tsarnaev, die de aanslag op de Boston Marathon pleegde, gaf toe dat hij en zijn broer het vervaardigen van de bom in de snelkookpan hadden geleerd van een stapsgewijze instructie in het al-Qaida magazine Inspire. Het artikel heette “Maak een bom vanuit de keuken van je moeder”. ISIS laat zien dat ze erg behendig zijn met technologie en social media. Neem alleen al het feit dat ze met hun promotiemateriaal inspelen op de game Grand Theft Auto V. Werf waar je doelgroep zit moeten ze gedacht hebben, want in deze game kun je onder andere agenten overhoop rijden. Het is enigszins vergelijkbaar met het idee van de werving door het Amerikaanse leger in de game American Army. Het gedrag dat je daar vertoont hoef je alleen nog maar in werkelijkheid te gaan vertonen.
Digitale middelen worden ook gebruikt om aanslagen te plegen, of te financieren. Zo moest Imam Samudra eerst digitaal inbreken bij de Western bank om daar $150.000 dollar van bankrekeningen en credit cards af te halen. Vervolgens pleegde hij in 2002 een aanslag in Bali waar meer dan 200 doden vielen. In de gevangenis schreef hij daarna een autobiografiosch manifesto “I Fight terrorists” met verdere hacking instructies (zoals carding) en aanmoedigingen om de heilige oorlog in cyberspace voort te zetten.
Hackers hoeven natuurlijk maar 1 foutje of gaatje te vinden, terwijl wij ons over de hele linie dag en nacht moeten verdedigen. En cyberwapens gaan niet dood, maar worden opnieuw gebruikt, verbeterd en slim gecombineerd met nieuwe ontwikkelingen. Als iemand een bom gooit, versplintert deze in duizend stukjes of zinkt naar de bodem van de zee. Computercode kun je gratis en oneindig kopi?ren. Ook een digitale bom die je naar iemand anders stuurt kun je dus een keer terug verwachten.
In het volgende blog gaan we nader in op social media en misdaadpraktijken. Marc Goodman vertelt over hoe wij de Terms of Service (ToS) niet lezen en zo onze ziel verkopen en het product geworden zijn, en zonder rechten meestal het nakijken hebben. Een mooie quote die hij gebruikt is:?”The most expensive things in life are free” en “The truth will set you free, but first it will piss you off.” – Gloria Steinem.?Maar het?is niet alleen kommer en kwel, het laatste deel zal ingaan op?de oplossingen die er mogelijk zijn.?