De exponenti?le groei van het internet die exponenti?le groei van criminaliteit mogelijk maakt gaat in dit derde deel verder. Het probleem is volgens Marc Goodman niet dat technologie slecht is, maar dat zo weinig mensen er iets van weten. Als computer code onze planeet draaiende houdt (software rules the world) kan het ook misbruikt worden. Vooral vanwege de asymmetrische verhoudingen: een aanval is duizenden keren eenvoudiger dan een goede verdediging over alle linies van internetdingen. Perfecte beveiliging is een illusie en is ook niet nodig. Toch moet er wel wat wijzigen in de huidige manier van werken en doen.
De wereld is kapot
Facebook ontwikkelaars (en vele app ontwikkelaars ook) hebben lange tijd gewerkt volgens het mantra “move fast and break things“. De time to market was veel belangrijker dan de kwaliteit van de software, in een cultuur van b?ta producten die nooit af zijn. Zuckerberg stelde ook: “If you never break anything, you’re probably not moving fast enough“. Facebook noemde bijvoorbeeld de commotie rondom het tracken van niet-Facebookgebruikers een “bug”. Andere adagia bij Facebook zijn “Just ship it” en “Done is better than perfect“. Onderzoek onder app ontwikkelaars wijst uit dat de helft $0 dollar besteedt aan veiligheid. Deze duct?tape programmeerstijl zit dicht op het randje van een crash. Quinn Norton spreekt in “Everything is broken” zelfs over “Software is bullshit“. Het feit dat een Heartbleed?virus zo lang zijn werk kon?doen is een vorm van?bewijs. Klanten willen alles hebben en liefst snel. Mensen slapen niet voor niets op de stoep bij een Apple Store voor een nieuwe iPhone. Driekwart van alle systemen die we gebruiken kan in luttele minuten worden binnengedrongen. Een hacker heeft je wachtwoord in 90 seconden. Dat terwijl 97% van alle kraken voorkomen hadden kunnen worden met relatief eenvoudige maatregelen. Met het design is niets mis, maar waar is de Steve Jobs van security? Pas als veiligheid?echt een Unique Selling Point wordt en klanten dit hard gaan eisen, zal dit kunnen veranderen. Security onderzoeker?Dan Kaminsky: “We are truly living through Code in the Age of Cholera“. En het is logisch dat hackers die zwakheden vinden dit nu op de zwarte markt verkopen in plaats van het netjes te melden, omdat je bij legitieme meldingen (responsible disclosure) nog steeds risico’s loopt op strafmaatregelen. De bounty programs van bedrijven als Google en vele anderen zijn een goed begin, maar de prijzen op de zwarte markt zijn vele malen hoger. Voorlopig verandert er dus niet zomaar iets.
Data is?het nieuwe goud
De beruchte bankrover Willie Sutton,?die begin 19e eeuw zijn carri?re begon en dat decennia volhield en $2 miljoen dollar buit maakte, werd gevraagd: “Hey Willie, waarom roof jij eigenlijk banken?”. Zijn antwoord was simpel: “Omdat daar het geld zit”. ?Vandaag de dag is geld alleen vervangen door data, en om die reden?introduceert Marc?zijn eigen “Goodman-wet”: “The more data you produce and store, the more organized crime is happy to consume“.
Facebook geeft toe dat er?elke dag 600.000 keer?een account gehackt wordt. Elke dag! Dat is elke 140 milliseconde; knipperen met je ogen duurt al 2 keer zo lang. In het jaarrapport van Facebook stellen ze dat?11.2% accounts vals zijn, ofwel:?140 miljoen mensen die niet eens echt bestaan. Volgers of fans krijgen?is trouwens ook niet heel moeilijk, want op sites zoals SocialMediaCorp.org?zijn ze gewoon te koop: voor $5 dollar heb je 4.000 Twitter volgers en 100.000 fans op Facebook kosten iets meer: 1500 dollar. Tel daar clickfraude?of?complete?clickfarms bij op en je beseft: alle?social media partijen hebben?met heel veel?misbruik te maken. Van LinkedIn is ook bekend dat er 6.5 miljoen accounts gekraakt zijn, van Snapchat 4.6 miljoen (incl. telefoonnummers), maar ook Google en Twitter blijven niet gespaard en ondervinden dagelijks ellende. Georganiseerde misdaad is verantwoordelijk voor 85% van deze hacks. Dropbox maakte het in 2011 nog bonter en had per ongeluk de beveiliging even helemaal uitgezet voor al haar gebruikers. Een roofdier op de Serengeti loopt ook niet gewoon voorbij als er een dood dier ligt dat door kan gaan als gratis maaltje voor onderweg. In dit geval?werd dus heel wat Big data snel weggeloodst.
Social Media gebruikers zijn gewillige targets van allerlei?vervelende software. Koobface?is bijvoorbeeld bekende malware die zich specifiek richt op (de naam doet het al vermoeden) Facebookgebruikers. Deze software werd door?oplichters slim ingezet tijdens de vermiste MH370, waarbij ??n klik op “brekend nieuws van CNN”, met de eerste foto’s of filmpjes van het gevonden vliegtuig, genoeg was om een virus binnen te halen. Firesheep is een andere tool waarmee je aan zgn. ‘sidejacking‘ kun doen; je kunt hiermee via een open Wifi (bijvoorbeeld in een hotel, restaurant of de trein) eenvoudig iemands Facebook sessie en ook account overnemen.
Wie is er aansprakelijk?
Maar denk maar niet dat social media partijen ook opdraven voor de geleden schade. Identiteitsfraude alleen al kostte in de VS 21 miljard (2012), en elke 2 seconden is er weer een?Amerikaan aan de beurt. Kinderen zijn de snelst groeiende groep slachtoffers. Zij maken?51 keer meer kans op deze vorm van fraude dan volwassenen. Reden: hun identiteit heeft nog?een ‘clean-sheet‘ bij de meeste instanties en social media partijen krijgen steeds jongere kinderen onder hun leden (ook al is 13 officieel de minimum leeftijd).
Facebook maakt goed?duidelijk?dat zij niet aansprakelijk zijn voor welke schade dan ook:
“We try to keep Facebook up, bug-free, and safe, but you use it at your own risk. We are providing Facebook as is without any express or implied warranties… We do not guarantee that Facebook will always be safe, secure of error-free.. [Y]ou release us, our directors, officers, employers, and agents from any claims and damages, known and unknown, arising out of or in any way connected with any claim you have.”
Marc vraagt zich af: Als?er op het etiket staat “Wij garanderen niet dat het product altijd veilig zal zijn” zou je het dan?kopen? Hoe kan het zijn dat wij dit klakkeloos overal maar accepteren als het over technologie gaat? Waar is de verantwoordelijkheid van software makers? Security expert?Mikko Hypponen?zegt erover: “Nuclear scientists lost their innocence when we used the atom bomb for the very first time. So we could argue computer scientists lost their innocence in 2009 when we started using malware as an offensive weapon.” In de automobiel industrie is het gelukt om integrale veiligheid te organiseren (in de VS de National Traffic And Motor Vehicle Safety Act?uit 1966), dus waarom niet met onze smartphones en?andere kritische spullen? Voordat we allemaal weer 50 miljard nieuwe spullen toevoegen vraag je je af of we het nu eindelijk goed gaan regelen. Er is uitgerekend dat Facebook?$8 dollar per jaar aan elke gebruiker?verdient. Maar voor dat bedrag?versnijden ze je data in kleine stukjes en verkopen die door aan een schimmige wereld van data dealers met mogelijk grote persoonlijke consequenties. Er zijn inmiddels heel wat mensen die Facebook best $10 dollar?willen betalen?om dat men hun persoonsgegevens niet meer te doen.
Treiteren, trollen of?erger
Stalken of cyberpesten is een net zo populaire vorm van misbruik met behulp van deze identiteiten, omdat het zo makkelijk is: je kunt er altijd en overal bij. Facebook stalking is zelfs een alledaags begrip geworden. Onderzoek?toont aan?dat zelfs 20% van de middelbare scholieren door het cyberpesten “serieus nadenkt over een zelfmoordpoging”. Sexting, sextortion (wraakporno)?zijn allemaal groeiende problemen. 67% van de studenten geeft aan ermee te maken te hebben. De website van Hunter Moore maakt het wel heel bond: alle wraakporno plaatjes (meestal van exen) worden automatisch voorzien van de echte social media profielen van Facebook of Twitter. 74% van de ouders geven aan niet mee te kijken met hun kinderen. Reden: ze snappen het toch niet, hebben geen tijd, geen energie?of zien geen mogelijkheden.?In de huiselijke kring kan?social media andersom ook een?grote?negatieve impact op je?leven hebben: 45% van de slachtoffers van huiselijk geweld geeft aan dat de daders hen online volgt of ook digitaal aanvalt. Neem bijvoorbeeld Paul Bristol die het vliegtuig uit Trinidad pakte na een Facebook update van zijn ex en haar na het zien van een foto met haar nieuwe vriend doodstak. Hate crime (haat gericht op?huidskleur, geloof, geaardheid, sexe, uiterlijk of anderszins) en vele andere vormen van digitale pesterijen nemen toe.?Zo maakte Channel 4 een documentaire?over de heftige jacht op homo’s in Rusland met daarin een voorval?van?1500 jonge?mannen die op Instagram, YouTube en Twitter voor de hele wereld werden vernederd en?de autoriteiten slechts toekeken,?terwijl sommigen voor het leven verminkt waren of zelfs stierven. Nooit iemand voor veroordeeld.
Censuur en?propaganda
Websites die antisemitisch zijn en de holocaust ontkennen of nazisme aanhangen worden in landen als Frankrijk en Duitsland openlijk gecensureerd. In Syri? worden diensten als?YouTube en Facebook geblokkeerd. Saoedi Arabi? blokkeert zelfs 400.000 websites en de Verenigde Arabische Emiraten blokkeren alle sites eindigend op .il omdat ze de Joodse staat niet erkennen. Maar China spant natuurlijk de kroon op het gebied van internet censuur, met 2 miljoen moderators en propaganda werkers. Er zijn volgens Freedom House?wereldwijd maar liefst 4 miljard mensen die in een land wonen die aan enige vorm van internet filtering (censuur)?doen. De overheid (maar ook?Facebook of Google) bepaalt dus was je in je gefilterde bubbel ziet. Andersom?gebruikt de VS zelf ook de online propaganda machine in haar strijd met Al-Qaida, en Rusland vertelt met wat hulp van internettrollen?online graag hun verhaal over Oekra?ne of de MH17. Lees en bekijk bijvoorbeeld wat alleen al Bellingcat hierover tegenkomt:
Broadcast live streaming video on Ustream
Broadcast live streaming video on Ustream
Naar internet content kijken is volgens Marc net als een dating site: “What you see is not always what you get“. En toch vertrouwen we erop. Volgens Nielsen vertrouwt 70% van de mensen online reviews net zoveel als het advies van hun vrienden. Toch blijkt uit ander onderzoek?dat 25% van de reviews complete onzin zijn. Sterker nog, het is bekend dat diensten flink rommelen met deze informatie, een fenomeen dat bekend staat als?astroturfing.
Social Engineering
Als je niet op Facebook zit, doet iemand anders dat wel voor je. Daar kwam ook Ron Noble?in 2010 achter, toenmalig?secretaris generaal van Interpol, toen de penoze een Facebook account voor hem aanmaakte. Maar?wat kun je met zo’n vals account? Een voorbeeldje:
Robin Sage, een jonge aantrekkelijke 25 jarige vrouw, werkte als cybersecurity analist bij de Amerikaans marine. Bij MIT afgestudeerd en stage gelopen bij de NSA. Net als iedereen van haar leeftijd was ze flink actief op Facebook, LinkedIn en Twitter. Toen ze net haar baan bij de marine had, sloeg ze lekker aan het netwerken met andere cybernerds die bij de overheid werkten. Al snel had ze 300 connecties, waaronder militairen en mensen op diverse plekken bij de inlichtingendiensten. Een hele reeks hooggeplaatste mensen hoorden daar ook bij. Hoewel sommigen twijfelden over haar uitnodiging, verzekerde zij ze dat ze elkaar toch echt op de laatste Defcon hadden ontmoet. De twijfelaars keken nog even naar haar profiel, maar zagen ook andere bekenden al in haar netwerk, waaronder veel van haar collega’s bij de marine. Lockheed Martin en andere bedrijven raakten zelfs zo onder de indruk?dat ze haar?benaderde voor een baan. Er was alleen ??n detail: Robin Sage bestond helemaal niet. Het was een experiment van security adviseur Thomas Ryan.
Crime Inc.
Data broker Experian verkocht?in 2013 per ongeluk bijna twee derde van alle gegevens over Amerikanen aan een malafide club uit Vietnam. Van 200 miljoen Amerikanen waren de zgn. ‘fullz‘ (alle persoonsgegevens) in criminele handen, waarmee je eenvoudig?een lening kunt aangaan uit hun namen. Op allerlei sites zoals SuperSet.info of FindGet.me kon je ze voor gemiddeld 20 set per setje kopen. Schattingen zijn dat 20% van alle Europeanen en Amerikanen al een keer digitaal over de toonbank zijn geweest. Medische identiteitsfraude of belastingfraude met valse identiteiten kost de Amerikaanse maatschappij?jaarlijks respectievelijk 5.6 miljard en?4 miljard per jaar.
Inbrekers kunnen ook een slaatje slaan uit de gratis Facebookgegevens. Zo werd in 2010 bekend dat een criminele groep uit Nashua, New Hampshire, Facebook gebruikte om meer dan 50 inbraken te plegen waarin ze zo’n $200.000 buit maakten. Online marktplaatsen?zijn ook populaire manieren om mensen op te lichten, of om gewilde?spullen te vinden.
Of neem de terroristische?Lashkar-e-Taiba aanval?in Mumbai uit 2008 die als gijzelnemers in de ene hand een vuurwapen en een smartphone wapen in de ander hadden. Tien mannen kregen via hun eigen social media ops centrum voor die tijd geavanceerde real-time contra-intelligence via hun smartphone binnen en be?nvloedden met hun actie het leven van 12 miljoen inwoners in die stad terwijl het?live over de hele wereld werd uitgezonden. 164 mensen overleefden die aanslag niet en 9 van de 10 gijzelnemers kwamen om. De enige overlevende werd in 2012?in India ge?xecuteerd. Marc beschrijft hoe criminelen?over een aantal jaar “Siri & Clyde” worden (of Bonnie & Cortana) waarin ze?met hun?smartphone een IBM Watson (Don Watson noemt hij het) aan de lijn hebben als criminele infocel.
Marc Goodman gebruikte deze casus al?in 2012 in zijn TED talk:
Dit is deel 3 van een vierluik als boekbespreking van Future Crimes van Marc Goodman. In het volgende en laatste artikel gaan we in op het Dark Web, cloud crime, crime sourcing, internetdingen en wat we kunnen doen om deze ontwikkelingen veilig te houden. Heb je artikel 1 en 2 al gelezen, of heb je het boek zelf gelezen? Misschien wil je dan je idee?n erover?hieronder delen?