Tagarchief: cybercrime

Future Crimes – Social Media bovenwereld

Geef een reactie

marc Goodman

We zetten de lijn van exponenti?le groei uit het vorige blog door, maar nu zoomen we in?op?de social media ontwikkelingen die Marc Goodman beschrijft in zijn nieuwe boek Future Crimes.

In 10 jaar tijd groeide het gebruik van Facebook van nul tot 1.3 milard mensen. Er zijn inmiddels op de planeet meer mobiele telefoons dan mensen en daarmee worden elke dag 350 miljoen foto’s naar Facebook geupload. De ‘Like’-knop wordt zo’n zes miljard keer per dag ingedrukt.?Tijdens de Arabische lente maakte een Google medewerker, Wael Ghonim, een Facebookpagina aan om aandacht te vragen voor de aanslag op een Egyptische activist. Binnen twee minuten had hij?300 ‘likes’ en na korte?tijd steunden 250.000 zijn oproep. Het doen van telefoontjes op de mobiel is volgens Brits onderzoek in ons dagelijks gebruik al?op de vijfde plaats gekomen: surfen op het web, social media, gamen en muziek staan op de eerste vier plekken!

Social Media Terms of Service (ToS)?

De groei van klanten voor social media aanbieders is fenomenaal. Maar over hoe deze partijen met hun klanten omgaan stelt Marc Goodman stevige vraagtekens. Bijvoorbeeld Google of Facebook komen met veel vreemde praktijken weg zo lijkt het, en het contract dat je als gebruiker met ze aangaat is op zijn minst asymmetrisch. Het antwoord van Google in een rechtszaak onder de hamer van?rechter Lucy Koh was letterlijk: “a person has no legitimate expectation of privacy in information he voluntarily turns over to third parties“. Met andere woorden: het versturen van een e-mail aan een Gmail gebruiker betekent dat Google mag doen met die data wat het wil. Neem ook Facebook die zich zou moeten houden aan de Children’s Online Privacy Protection Act,?een wet die bepaald dat er geen informatie van kinderen onder de dertien verzameld mag worden. Maar wie een beetje om zich heen kijkt op Facebook weet wel beter. Ook al zijn de regels dus beter, dan schiet de handhaving enorm tekort. Een treffende?quote uit het boek is dan ook: “Social media are the new public records“.

Marc wil zijn punt nog kracht bijzetten met wat cijfers.?De gemiddelde Amerikaan krijgt per jaar 1.462 gebruikersovereenkomsten?onder ogen, met gemiddeld 2.518 woorden per stuk. Als we die allemaal zouden moeten lezen, zou dat?76 volledige werkdagen?van ons leven kosten. Geen wonder dat de meeste mensen de Terms of Service (ToS) niet lezen.

Als voorbeeld schotelt Marc Goodman ons de user agreement?van LinkedIn even voor:

“You grant LinkedIn a nonexclusive, irrevocable, worldwide, perpetual, unlimited, assignable, sublicensable, fully paid up and royalty-free right to us to copy, prepare derivative works of, improve, distribute, publish, remove, retain, add, process, analyse, use and commercialize, in any way now known or in the future discovered, any information you provide, directly or indirectly to LinkedIn, including, but not limited to, any user generated content, ideas, concepts, techniques and/or data to the services, you submit to LinkedIn, without any further consent, notice and/or compensation to you or to any third parties. Any information you submit to us is at your own risk of loss.”

Daar kunt u het mee doen. Je kunt je data als eindgebruiker (of product) dus nooit meer terughalen, nooit een fout herstellen. Social Media partijen?kunnen je data in de meeste gevallen tot in lengte der dagen blijven gebruiken voor allerlei doeleinden. LinkedIn heeft zijn user agreement inmiddels iets aangepast, en maakte er na veel vragen zelfs onderstaand?filmpje over. Het filmpje doet overkomen alsof je zelf eigenaar bent (ben je in wettelijke zin ook), toch blijf?je onbeperkte toestemming (licenties) aan LinkedIn en derden geven over je persoonlijke gegevens?en zie die maar eens echt terug te halen. Dat is nu totaal nog?geen transparant proces, vandaar ook nieuwe Europese wetgeving?tav?het recht om vergeten te worden, maar ook de?interessante zaak die Max Schrems (na zijn eerdere ervaringen) nu samen met duizenden gebruikers?tegen?Facebook voert:

Om aan te tonen hoe belachelijk dit soort gebruikers overeenkomsten zijn, deed GameStation een experiment met een nog belachelijker statement:

“By placing an order via this GameStation Website on the first day of the fourth month of the year 2010 Anno Domini, you agree to grant us a non transferable option to claim, for now and for ever more, your immortal soul. Should we wish to exercise this option, you agree to surrender your immortal soul, and any claim you may have on it, within 5 (five) working days of receiving written notification from gamestation.co.uk or one of its duly authorisied minions.”?

7500 GameStation gebruikers verkochten op de dag van dit experiment hun ziel aan GameStation, terwijl ze er een product kochten. Terms of Service zijn echter geen geintje. Menige rechtszaak is door arme klanten verloren doordat de kleine lettertjes de social media partij -?of derden?- vrijwaarden van elke blaam. De privacy overeenkomst van Facebook verandert toch al elk half jaar en is inmiddels gegroeid van 1004 woorden (in 2005) tot 9300 woorden in 2014 (exclusief de links naar pagina’s met subvoorwaarden en overige condities). Facebook’s privacy overeenkomst is daarmee langer geworden dan de Amerikaanse grondwet! Toch spant Paypal de kroon met een gebruikersovereenkomst van 36.275 woorden… (langer dan Shakespeare’s Hamlet). Marc Goodman vergelijkt het wijzigen van deze voorwaarden met het (eenzijdig) wijzigen van de wetten, omdat deze datawetten bepalen wat ze met jouw data mogen doen en welke schamele rechten er dan voor jou overblijven.

En als je die gebruikersovereenkomst eenmaal gelezen hebt, ben je nog niet klaar. Op Facebook zijn maar liefst 170 privacy opties die je kunt instellen en tweaken, hoewel?de meeste mensen niet eens weten wat alles betekent. En al zou je uren besteden aan die instellingen, dan nog kan?een Facebook update van de Terms Of Service veel instellingen weer terugzetten op de?standaard instellingen; namelijk maximale openheid. Zo bepaalt je data dealer wat ze met jou kan doen. Jij bent immers allang verslaaft en zit vast?in hun web.

Ook Google heeft een vergaande terms of service overeenkomst. Als je bijvoorbeeld Google Docs of Google Drive gebruikt staat er?dat Google automatisch ook eigenaar wordt van die documenten. Lees maar:

“When you upload or otherwise submit content to our services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, and create derivative works, such as those resulting from translations, adaptations or other changes and license to communicate, publish, publicly reform, publicly display and distribute such content.”

Het is maar goed?dat J.K. Rowling haar Harry Potter serie niet in Google Docs heeft geschreven! Anders waren haar wereldwijde rechten van het boek ook in handen van Google.

Jij bent het product

Gratis lijkt dus mooi, maar je betaald met je persoonsgegevens of je eigen content. Een treffende quote uit het boek is: “The most expensive things in life are free“. Dat is precies?waarom een gratis spelletje als Angry Birds?binnen korte tijd 9 miljard aan beurswaarde kan genereren. Apps zijn hele effectieve distributiesystemen voor persoonlijke gegevens aan adverteerders. Alleen al het downloaden van de Facebook app op een Android toestel (nog voor dat je je hebt aangemeld of de ToS hebt ondertekend) zorgt ervoor dat je mobiele telefoonnummer met Facebook is gedeeld. En de ‘Like’-knop (6 miljard clicks per dag)?werkt?net als internet cookies als een tracker die je gedrag ook op andere sites dan Facebook volgt. McAfee toonde aan dat 82% van de Android apps je internetverkeer volgen en maar liefst 80% je locatiegegevens doorgeven. Marc Goodman geeft voorbeeld na voorbeeld en verbaast zich over het feit dat deze markt zo ongereguleerd is. Hij vergelijkt het met de regulatie van nicotine (onze persoonsgegevens zijn de verslaving van big data brokers en adverteerders), en de grote waarschuwingen op sigarettenpakjes voor consumenten.

De 7 gouden W’s voor adverteerders

Hij haalt de 7 gouden W’s erbij (op een andere manier: ditmaal voor adverteerders) en stelt dat Google de strijd om de “Wat” vraag heeft gewonnen: zij weten “wat” mensen zoeken (Google Search die je zoekvraag zelfs aanvult omdat ze jou en anderen inmiddels al redelijk goed kennen). ?Facebook heeft nu de strijd gewonnen rondom de “Wie” vraag: het kent jou en je persoonlijke netwerk als geen ander. ?De “Waar” vraag is nu waar de strijd al een tijdje in is losgebarsten. Location based diensten (LBS) en bronnen via apps (oa ook Netflix), de smartphone en internetdingen maar ook infrastructuur (de Wifi bij de McDonald’s) zorgen voor veel nieuwe startups die hun drilboor al in de digitale goudmijn hebben gezet.

Voorbeelden van dergelijke nieuwe diensten zijn bijvoorbeeld dating apps als Tinder en Grindr, die miljoenen klanten op miljoenen locaties aan elkaar hebben verbonden. In 2012 lanceerde een Russische startup de app Girls Around Me?die gebruik maakte van Facebook en Foursquare check-ins. Als een digitale?radar kon je alle meisjes?in de buurt vinden en hun Facebook profielen checken. Met een druk op de knop kon je zien waar ze op school zaten, welke vakantie ze net hadden gehad en hun?voorkeuren (‘likes’) inzien. Met deze informatie zou je dus als wildvreemde op zo’n meisje af kunnen stappen en precies de juiste dingen kunnen zeggen. Handig, ook voor?mannen met minder fijne bedoelingen.

Een andere?datingapp?gaat nog verder. OkCupid?vraagt aanvullende gevoelige informatie, zoals hoeveel seksuele relaties je in het verleden hebt gehad, of je voor of juist tegen abortus bent, of je een vuurwapen hebt, of en hoe vaak je?alcohol of drugs gebruikt (legaal en ook illegaal). Allemaal om een zo goed mogelijke match voor je te vinden…

Social Media monitoring

leigh

Dat social media ook door andere partijen steeds beter in de gaten gehouden wordt, ontdekte Leigh Van Bryan toen hij vlak voor zijn reis vanuit Engeland naar de Verenigde Staten Twitterde:

destroy-america

Het woordje ‘destroy’?betekent onder zijn Britse vrienden iets anders dan wat DHS (Department of Homeland Security) ervan maakte. Toen hij op het vliegveld in Los Angeles aankwam werden hij en zijn 24 jarige reisgenote Emily Bunting door de bewapende douane in de boeien geslagen. Ze moesten 12 uur in een cel zitten met vermeende Mexicaanse drugsdealers. Hoewel ze hun Engelse slang nog probeerden uit?te leggen, mocht het niet baten en werd er door hun spullen gezocht, onder andere naar een schep. Een schep? Die schep zou te maken hebben met hun andere tweet die hun vakantieplannen weergaf en over ‘diggin’ Marylin Monroe up‘ ging (een verwijzing uit de serie Family Guy):

article-2093796-11859F7D000005DC-112_468x89

Na een nachtje in de cel werden ze op het vliegtuig per kerende?post naar Engeland teruggestuurd. Dag visas, dag vakantie…

Social media monitoring is allang niet?meer beperkt tot de DHS. In Amerika?zijn naast de inlichtingen ook de IRS (belastingdienst) en de immigratiedienst al in 2009 begonnen met social media monitoring programma’s. Onder andere om te zien wie er wel vaart bij uitkeringen en vermoedelijke fraudezaken. In dat jaar had telecomoperator Sprint een handig online politie portaal (website) gemaakt om de vele dataverzoeken?eenvoudiger af te handelen. Daarmee kon de politie zonder schriftelijk bevel alle telefoons van Sprint localiseren (‘pingen’). In dat jaar werd er 8 miljoen keer gebruik van gemaakt.?Ook scholen en overheden doen steeds vaker mee in het monitoren van social media data. UDiligence volgt social media accounts van studenten om ervoor te zorgen dat “de lokale atletiekclub niet door het gedrag van atleten in een slecht daglicht komt te staan”. Sommige scholen stellen het zelfs verplicht om de Facebook accounts met wachtwoord en al in te leveren. Ouders kunnen dan rustiger slapen.

Social data dealers

Marc Goodman constateert dat er maar weinig industrie?n zijn die hun klanten gebruikers noemen. Eigenlijk kent hij er maar twee: drugsdealers en de ICT industrie. Marc ziet veel overeenkomsten.

Want hoewel men schokkend reageerde op wat de NSA aan data verzamelde wil Marc ons ook wijzen op de echte datadealers. En dan bedoelt hij geen?hackers, maar gewoon de legale handel in persoonsgegevens. Neem bijvoorbeeld?Acxiom , die van meer dan 700 miljoen klanten gegevens verzamelde (van 96% van de Amerikaanse inwoners?hebben ze gegevens) en hiermee 50 triljoen data transacties per jaar verwerkt. Elk gebruikersprofiel bevat 1500 eigenschappen, zoals je ras, geslacht, telefoonnummer, type auto, opleidingsniveau, aantal kinderen, formaat huis, recente aankopen, leeftijd, gewicht, lengte, huwelijke status, politieke voorkeur, gezondheidstoestand, beroep, en of je links-of rechtshandig bent tot aan je?huisdieren. ‘Behavioural analysis’,?predictive targeting‘ en ‘premium proprietary behavioural?insights’ zijn de zaken?waar dit soort bedrijven dagelijks in handelen. Oftewel: ze proberen je door gedragsanalyse echt te begrijpen?en die kennis aan de hoogste bieder te verkopen. Want luiers?aanbieden aan een student heeft niet zoveel zin, maar brengt?veel geld in het laatje als je dat aan een zwangere huisvrouw aanbiedt.?Acxiom geeft je een unieke 13-cijferige code en stopt je in een van hun 70 clusters op basis van je gedrag en je sociodemografische eigenschappen. Sommige?data brokers houden ook gegevens bij over je medische toestand (bijv. AIDS of dementie) en?MEDbase200 verhandelde zelfs gegevens over slachtoffers van huiselijk geweld of verkrachtingen. OfficeMax stuurde een brief?naar een klant waarop?stond” Mike Seavy, dochter omgekomen in een auto-ongeluk”. Toen deze man (nog in rouw, want het feit klopte) het bedrijf om uitleg vroeg moest het bedrijf onder druk van NBC bekennen dat het het een foutje was. Die gegevens waren alleen?bedoeld voor derde partijen, niet voor klanten. Welke partij die gegevens kreeg wilde OfficeMax niet zeggen (bekijk het nieuwsitem).

Je?begint je misschien?af te vragen wat deze data brokers allemaal van je weten. Je komt het echter nooit te weten, daar heb je immers voor getekend in de gebruikersovereenkomst.?Er is nauwelijks?regulering van de markt van deze data dealers. Marc Goodman noemt het Kafkaiaans,?omdat het doet denken aan het?boek van Franz Kafka “Het proces” waarin een man veroordeeld wordt maar niet krijgt te horen wat er in het geheime dossier staat.?Deze?dataveillance maatschappij noemde voormalig vice-president Al Gore ook wel de “stalker economy” met verwijzingen naar diensten als SnapChat, die jongeren juist weer gebruiken om onder het toeziend oog van hun ouders weg te komen.

Van Big data wetenschap naar big data praktijk

Engelse onderzoekers bekeken de locaties van mobiele telefoongebruikers en kwamen erachter dat ze nauwkeurige voorspellingen konden doen: met twintig meter variatie voorspelden ze waar je de volgende dag (over 24 uur) zou zijn.

Het Gaydar onderzoek op Facebook gaf vervolgens goed weer dat je seksuele voorkeuren goed kunt voorspellen (78% betrouwbaar) op basis van je sociale netwerk. Bedenk daarbij wat dit betekent voor de 76 landen waar homoseksualiteit nog steeds onwettig is: Sudan. Iran, Yemen, Nigeria of Saudi Arabi? waar er zelfs de doodstraf op staat. Of denk aan Rusland die ook bekend staat om zijn homohaat, dat zichtbaar?via de?Russische Facebook variant?Vkontakte?gebeurt.

En een andere Facebook studie van 58.000 profielen?toonde aan dat je iemands IQ kan voorspellen, maar ook of ze emotioneel stabiel en misschien uit een gebroken gezin afkomstig waren. Predictive policing software maakt hier nu nog geen gebruik van, maar data brokers met?commerci?le doeleinden waarschijnlijk?al wel.

Zo zijn er al een aantal start-ups (zoals Lenddo) die je sociale netwerk informatie gebruiken om te bepalen of je kredietwaardig bent. Als je bevriend?bent met mensen die schulden hebben en je hebt er vaak contact mee verlies je punten. Want, zo zal men denken, als je vrienden op social media allemaal platzak zijn, zul jij niet veel beter zijn…

Big data bazen

Eric Schmidt (CEO van Google) heeft?zelf een van de beruchtste uitspraken gedaan: “If you have something that you don’t want anybody to know, maybe you shouldn’t be doing it in the first place” en kreeg bijval van Mark Zuckerberg die zeiprivacy is no longer the social norm” .

Zelfs Wolfgang Schmidt, destijds?hoofd van de Oost-Duitse inlichtingendienst?Stasi, reageerde op de onthullingen van Edward Snowden: “Dit zou onze droom geweest zijn”, en deed uit de doeken?dat?de Stasi destijds 40 telefoonlijnen tegelijk kon tappen en was verbaasd te horen dat de technologie het blijkbaar nu mogelijk maakt om alle telefoonlijnen en internet data tegelijkertijd en continu af te tappen.

Marc Goodman somt de problemen van de data brokers op en legt uit hoe gemakkelijk criminelen, maar ook bonafide partijen erbij kunnen, en stelt: “Als je niet de controle hebt over je eigen data, heb je niet de controle over je eigen levenslot.” In het volgende blog wordt nog duidelijker hoe social media informatie tot allerlei onveilige situaties leiden, en ronden we af met wat je er volgens Marc Goodman tegen kunt doen.

Laten we dit blogje eindigen met een onthullende parodie die goed weergeeft in wat voor gekke wereld we nu leven “CIA owns Facebook”:

 

Future Crimes – inleiding

Geef een reactie

Het is bijna een encyclopedie van cybercrime feiten, zoveel voorbeelden gebruikt Marc Goodman in zijn nieuwe boek Future Crimes om zijn punt te maken over criminaliteit van vandaag en morgen. En hoewel hij van nature optimistisch is, is zijn punt vooral: “You ain’t seen nothing yet”.

Dit boek geeft als geen ander weer hoe de exponenti?le groei van?informatie, software, het internet en internetdingen gepaard gaat met een onontkoombare exponenti?le groei van criminaliteit. De hamvraag is dan: is het 5 voor 12 of hebben we nog even?

Het boek bevat dus teveel om op te noemen, maar we doen een poging tot het delen van interessante cases en inzichten, zeker daar waar het social media betreft (waar we in het volgende blog meer op in gaan).

Singularity & misdaad

Met exponenti?le groei is ook exponentieel veel geld gemoeid. Hackers doen het allang niet meer voor de ‘lulz‘; hun werk wordt met grof geld of?macht beloond. Het Duitse AV-Test schatte in 2010 nog dat er zo’n 49 miljoen stukjes malware bestaan, McAfee had het in 2011?over twee miljoen nieuwe per maand, en Kaspersky Lab liet in de zomer van 2013 weten al 200.000 nieuwe malware samples per dag te zien. De ellende groeit ook exponentieel.

Gordon Moore (voormalig Intel topman) voorspelde in 1965 al deze exponenti?le groei: het aantal transistors op een?chip zou elk jaar verdubbelen. Dit principe is iets aangepast (per 18 maanden tot 2 jaar) maar staat tot op de dag van vandaag nog steeds en is ook wel bekend als de wet van Moore. De eerste iPhone bevatte al meer rekenkracht dan de mainframe computers die Apollo 11 naar de maan brachten (40 jaar geleden). De moderne smartphone is duizend keer sneller dan de snelste supercomputer uit de jaren 70 en?een miljoen keer goedkoper.

Ook informatie groeit als kool. Google verwerkt dagelijks meer dan 24 petabytes door de vele zoekopdrachten, mails en YouTube-filmpjes. Als die data zou worden uitgeprint op papier zou die stapel papier vanaf de aarde tot halverwege de maan?komen. Toch verwerkt Google (net als de NSA) hooguit 1 of 2% van al het internetverkeer. Elke paar?dagen produceren we evenveel informatie als de mensheid tot de 21e eeuw bij elkaar.

Ook bevat de software op onze apparaten bevat steeds meer code. Had Apollo 11 nog 145 duizend regels code, Microsoft Office 2013 heeft inmiddels 45 miljoen regels code en de Amerikaanse Healthcare.org website zelfs 500 miljoen. Verbaast dat die website vaak gehacked is?

De technologische Singularity, de knie van de exponenti?le curve waarin mensen (zelfs als collectief) de techniek niet meer kunnen begrijpen is daarom dichtbij en volgens Ray Kurzweil?is dat in 2045. Marc Goodman is zelf ook verbonden is aan de Singularity University.

Plot showing the exponential growth of computing

Criminelen uit het Wilde Westen maakten ook al gebruik van technologische ontwikkelingen, toen ging het alleen wat minder snel allemaal. Zo kwamen boeven als Jesse James en Butch Cassidy erachter dat de uitvinding van de trein een handig middel was om aan geld te komen. Voorheen konden ze te paard een individu beroven of hooguit een koets met een paar mensen tegelijk. Maar in een?trein zaten honderden mensen met geld of veel waardevolle spullen handig bij elkaar, terwijl de trein?zich in een voorspelbare lijn vooruit bewoog en een rijschema had dat overal te vinden was. De grootste treinroof?vond plaats?in Engeland, in 1963, waarbij de rovers?2.6 miljoen Britse pond buit maakten. Het internet stelt criminelen?nu in staat om niet honderden, maar duizenden of zelfs miljoenen mensen tegelijk te beroven. In 2013 werden bij Target gegevens van 110 miljoen klanten gestolen, door een 17 jarige jongen uit Rusland. Nog geen jaar later (augustus 2014) werden door een russische hackersgroep zelfs 1.2 miljard gebruikersnamen en wachtwoorden gestolen van 420.000 websites tegelijk.

Digitale zwakheden

Onderzoekers van Imperva en studenten van Technion-Israel instituut hebben in 2012 antivirus tools daarom maar eens aan de tand gevoeld. Wat bleek? Met alle nieuwe binnenkomende malware (oa ook de toename van zero-days) konden virusscanners slechts 5% van de criminele?software vinden. Ook de zgn. ‘time-to-detection rate‘, het verschil in tijd tussen het maken en kunnen detecteren door dan inmiddels geupdate virussoftware neemt gigantisch?toe (het virus Flame is een goed voorbeeld daarvan). Als?het immunsysteem van je lichaam zo zou functioneren zou je in luttele uren hartstikke dood zijn.

De huidige bescherming van onze digitale systemen is alleen gebaseerd op aanvallen uit het verleden. Marc Goodman vergelijkt het met banken die alleen voorbereid zijn op de komst van Bonnie & Clyde, omdat we daarvan weten dat ze al eerder banken hebben beroofd. Meestal kost het maanden voordat bedrijven doorhebben dat er een digitale boef binnen is geweest, en in 92% van de gevallen is het niet de CISO of het beveiligingsteam die het als eerste door heeft. Meestal is een boze klant, een leverancier of?de politie.

De software bevat ook gemiddeld 20 tot 30 foutjes op 1000 regels code.?Foutjes in software worden misbruikt door hackers, maar kunnen in zichzelf ook al vervelend zijn. Zo speelde foutjes in software een rol in de?Deepwater Horizon?ramp?waarbij?11 mensen onkwamen en 4.9 miljoen vaten olie in de golf van Mexico spoelden.

Exponenti?le?misdaadontwikkelingen

Digitale ontwikkelingen maken exponenti?le groei?ook mogelijk voor criminelen die nu wereldwijd kunnen opereren. Zoals het Russische Business Network (RBN), de ShadowCrew?en vele andere groeperingen. Neem bijvoorbeeld een zaak uit 2007 waarin?45 miljoen creditcards van?TJX gestolen werden (hoewel andere schattingen 94 miljoen noemden) met een schade die voorzichtig geschat wordt op $256 miljoen dollar. Daarbij is de indirecte schade met gemak groter dan een miljard, onder andere doordat het vertrouwen de?beurskoers en?verkoop doet teruglopen maar ook?verzekeringskosten en proceskosten voor nieuwe maatregelen er nog bovenop komen.

Kritische infrastructuren zijn ook een gewild doelwit. Zo viel de hacker groep Cutting Sword of Justice de gas- en oliemagnaat Saudi Aramco aan met hun Shamoon virus dat na zorgvuldige injectie via een USB stick als een dolle 30.000 bedrijfscomputers infecteerde. Shamoon wist maar liefst 75% van alle harde schijven te wissen, waardoor het bedrijf nog moeilijk haar werk kon voortzetten.

Was het vroeger anders? Neem?twee moderne helden?die ook als hacker begonnen zijn: Steve Wozniak en Steve Jobs. Zij verkochten als Berkeley student al zgn. ‘blue boxes‘ waarmee je de telefoonmaatschappij kon foppen en gratis door de hele VS kon bellen. Zo zamelden ze geld in voor hun echte creatie: de eerste Apple computer. Kevin Mitnick (hij mocht in gevangenschap geen telefoontje plegen omdat ze bang waren dat hij kernraketten kon activeren door het geluid van een modem?te fluiten) en Kevin Poulsen waren enige tijd later ook dergelijke types. Zij werden toendertijd echter de meest gezochte criminelen van de FBI. Poulsen wist bijvoorbeeld slim een wedstrijdje op de radio te winnen. Hij manipuleerde?alle binnenkomende telefoonlijnen om er zeker van te zijn dat hij de 102e beller zou worden?en de?Porsche 944 S2 ter waarde van $50.000 als prijs mocht komen halen.

Gevaarlijke overheden en bedrijven

Maar Marc Goodman gaat niet alleen op criminele hackers en georganiseerde misdaad. Ook overheden komen aan bod zoals het Britse GCHQ dat de hacktivistengroep Anonymous probeerde aan te pakken met DDOS aanvallen. Iets vaker blijft hij stilstaan bij grootmacht China die volgens de FBI met een leger van zo’n 180.000 cyberspionnen en cyberstrijders naar schatting alleen al op het Amerikaanse Defensienetwerk 90.000 computerhacks per jaar uitvoeren.

China wordt ervan verdacht veel bedrijven aan te vallen; volgens onderzoek komen zelfs 41% van alle aanvallen ter wereld uit dat land.?Ook de media kan daarbij ten prooi vallen. Mandiant deed onderzoek naar de aanvallen in opdracht van de krant The Times en localiseerde de Chinese hackers tot Unit 61398 van het PLA (People’s Liberation Army) met als adres een gigantisch gebouw op Datong Road, Shanghai waar?duizenden mensen werken.

Sinds de onthullingen van Edward Snowden is de sympathie voor de Verenigde Staten ook wat afgenomen. Uit zijn verhalen blijkt dat er op grote schaal cyberaanvallen vanuit de VS worden gevoerd, inclusief?Chinese doelwitten (o.a. China Mobile en de Tsinghua universiteit). Om daar nog een?onderzoek van de Wall Street Journal aan toe te voegen dat aangeeft dat spionage van internetgebruikers ??n van de snelst groeiende sectoren in het bedrijfsleven is.

Terrorisme

En dan wordt het internet door terrorisme experts ook nog een ‘terrorist university‘ genoemd. Dat is goed te zien aan een beweging als ISIS die dankbaar gebruik maken van beschikbare bronnen als The Mujahideen Poisons Handbook, Encyclopedia of Jihad. Ook Dzhokhar Tsarnaev, die de aanslag op de Boston Marathon pleegde, gaf toe dat hij en zijn broer het vervaardigen van de bom in de snelkookpan hadden geleerd van een stapsgewijze instructie in het al-Qaida magazine Inspire. Het artikel heette “Maak een bom vanuit de keuken van je moeder”. ISIS laat zien dat ze erg behendig zijn met technologie en social media. Neem alleen al het feit dat ze met hun promotiemateriaal inspelen op de game Grand Theft Auto V. Werf waar je doelgroep zit moeten ze gedacht hebben, want in deze game kun je onder andere agenten overhoop rijden. Het is enigszins vergelijkbaar met het idee van de werving door het Amerikaanse leger in de game American Army. Het gedrag dat je daar vertoont hoef je alleen nog maar in werkelijkheid te gaan vertonen.

Digitale middelen worden ook gebruikt om aanslagen te plegen, of te financieren. Zo moest Imam Samudra eerst digitaal inbreken bij de Western bank om daar $150.000 dollar van bankrekeningen en credit cards af te halen. Vervolgens pleegde hij in 2002 een aanslag in Bali waar meer dan 200 doden vielen. In de gevangenis schreef hij daarna een autobiografiosch manifesto “I Fight terrorists” met verdere hacking instructies (zoals carding) en aanmoedigingen om de heilige oorlog in cyberspace voort te zetten.

Hackers hoeven natuurlijk maar 1 foutje of gaatje te vinden, terwijl wij ons over de hele linie dag en nacht moeten verdedigen. En cyberwapens gaan niet dood, maar worden opnieuw gebruikt, verbeterd en slim gecombineerd met nieuwe ontwikkelingen. Als iemand een bom gooit, versplintert deze in duizend stukjes of zinkt naar de bodem van de zee. Computercode kun je gratis en oneindig kopi?ren. Ook een digitale bom die je naar iemand anders stuurt kun je dus een keer terug verwachten.

In het volgende blog gaan we nader in op social media en misdaadpraktijken. Marc Goodman vertelt over hoe wij de Terms of Service (ToS) niet lezen en zo onze ziel verkopen en het product geworden zijn, en zonder rechten meestal het nakijken hebben. Een mooie quote die hij gebruikt is:?”The most expensive things in life are free” en “The truth will set you free, but first it will piss you off.” – Gloria Steinem.?Maar het?is niet alleen kommer en kwel, het laatste deel zal ingaan op?de oplossingen die er mogelijk zijn.?

Alledaags politiewerk in een gedigitaliseerde wereld. Handreiking voor delicten met een digitale component

Geef een reactie

Leukfeldt, R. e.a. (2012). Alledaags politiewerk in een gedigitaliseerde wereld. Handreiking voor delicten met een digitale component. Lectoraat Cybersafety (NHL Hogeschool/Politieacademie), Open Universiteit, Boom Lemma uitgevers, Den Haag.

Met de komst van internet kregen criminelen nieuwe mogelijkheden om slachtoffers te maken. Daardoor hebben we tegenwoordig te maken met nieuwe vormen van criminaliteit, zoals het inbreken in computers en stelen of vernietigen van digitale data. Daarnaast zijn er ?klassieke? vormen van criminaliteit die nu (ook) via internet gepleegd worden. Voorbeelden zijn fraudeurs die via verkoopsites mensen oplichten, stalkers die ook internet misbruiken om hun slachtoffer lastig te vallen en kinderlokkers die via chatprogramma?s in contact proberen te komen met kinderen.
ICT raakt steeds meer verweven met ons dagelijks leven. Een logisch gevolg daarvan is dat ook het werkaanbod van de politie digitaliseert. Er zijn immers nieuwe delicten bijgekomen (hacken, virussen, etc.) en bij steeds meer klassieke zaken speelt ICT een belangrijke rol. Lang niet al deze zaken (kunnen) worden afgehandeld door digitale experts. Hierdoor krijgen steeds meer politiemedewerkers te maken met delicten met een (steeds zwaarder wordende) ICT-component.
Deze handreiking is ontwikkeld om het groeiend aantal politiemedewerkers dat met dergelijke delicten te maken krijgt, handvatten te geven. Met deze handreiking is te herkennen om welk delict het gaat, te bepalen welke wetsartikelen relevant zijn, hoe digitale sporen kunnen worden veiliggesteld en welke (algemene) adviezen aan de aangever kunnen worden gegeven. In deze handreiking zijn op deze manier 28 veel voorkomende delicten beschreven.

Dit boek is bestemd voor politiemedewerkers die aangiften opnemen van delicten met een digitale component, rechercheurs, analisten en (politie)onderzoekers op het terrein van cybercrime en cybersafety.

Bron: BoomLemma