software Archives - Social Media DNA

De exponenti?le groei van het internet die exponenti?le groei van criminaliteit mogelijk maakt gaat in dit derde deel verder. Het probleem is volgens Marc Goodman niet dat technologie slecht is, maar dat zo weinig mensen er iets van weten. Als computer code onze planeet draaiende houdt (software rules the world) kan het ook misbruikt worden. Vooral vanwege de asymmetrische verhoudingen: een aanval is duizenden keren eenvoudiger dan een goede verdediging over alle linies van internetdingen. Perfecte beveiliging is een illusie en is ook niet nodig. Toch moet er wel wat wijzigen in de huidige manier van werken en doen.

De wereld is kapot

Facebook ontwikkelaars (en vele app ontwikkelaars ook) hebben lange tijd gewerkt volgens het mantra “move fast and break things“. De time to market was veel belangrijker dan de kwaliteit van de software, in een cultuur van b?ta producten die nooit af zijn. Zuckerberg stelde ook: “If you never break anything, you’re probably not moving fast enough“. Facebook noemde bijvoorbeeld de commotie rondom het tracken van niet-Facebookgebruikers een “bug”. Andere adagia bij Facebook zijn “Just ship it” en “Done is better than perfect“. Onderzoek onder app ontwikkelaars wijst uit dat de helft $0 dollar besteedt aan veiligheid. Deze duct?tape programmeerstijl zit dicht op het randje van een crash. Quinn Norton spreekt in “Everything is broken” zelfs over “Software is bullshit“. Het feit dat een Heartbleed?virus zo lang zijn werk kon?doen is een vorm van?bewijs. Klanten willen alles hebben en liefst snel. Mensen slapen niet voor niets op de stoep bij een Apple Store voor een nieuwe iPhone. Driekwart van alle systemen die we gebruiken kan in luttele minuten worden binnengedrongen. Een hacker heeft je wachtwoord in 90 seconden. Dat terwijl 97% van alle kraken voorkomen hadden kunnen worden met relatief eenvoudige maatregelen. Met het design is niets mis, maar waar is de Steve Jobs van security? Pas als veiligheid?echt een Unique Selling Point wordt en klanten dit hard gaan eisen, zal dit kunnen veranderen. Security onderzoeker?Dan Kaminsky: “We are truly living through Code in the Age of Cholera“. En het is logisch dat hackers die zwakheden vinden dit nu op de zwarte markt verkopen in plaats van het netjes te melden, omdat je bij legitieme meldingen (responsible disclosure) nog steeds risico’s loopt op strafmaatregelen. De bounty programs van bedrijven als Google en vele anderen zijn een goed begin, maar de prijzen op de zwarte markt zijn vele malen hoger. Voorlopig verandert er dus niet zomaar iets.

Data is?het nieuwe goud

De beruchte bankrover Willie Sutton,?die begin 19e eeuw zijn carri?re begon en dat decennia volhield en $2 miljoen dollar buit maakte, werd gevraagd: “Hey Willie, waarom roof jij eigenlijk banken?”. Zijn antwoord was simpel: “Omdat daar het geld zit”. ?Vandaag de dag is geld alleen vervangen door data, en om die reden?introduceert Marc?zijn eigen “Goodman-wet”: “The more data you produce and store, the more organized crime is happy to consume“.

Facebook geeft toe dat er?elke dag 600.000 keer?een account gehackt wordt. Elke dag! Dat is elke 140 milliseconde; knipperen met je ogen duurt al 2 keer zo lang. In het jaarrapport van Facebook stellen ze dat?11.2% accounts vals zijn, ofwel:?140 miljoen mensen die niet eens echt bestaan. Volgers of fans krijgen?is trouwens ook niet heel moeilijk, want op sites zoals SocialMediaCorp.org?zijn ze gewoon te koop: voor $5 dollar heb je 4.000 Twitter volgers en 100.000 fans op Facebook kosten iets meer: 1500 dollar. Tel daar clickfraude?of?complete?clickfarms bij op en je beseft: alle?social media partijen hebben?met heel veel?misbruik te maken. Van LinkedIn is ook bekend dat er 6.5 miljoen accounts gekraakt zijn, van Snapchat 4.6 miljoen (incl. telefoonnummers), maar ook Google en Twitter blijven niet gespaard en ondervinden dagelijks ellende. Georganiseerde misdaad is verantwoordelijk voor 85% van deze hacks. Dropbox maakte het in 2011 nog bonter en had per ongeluk de beveiliging even helemaal uitgezet voor al haar gebruikers. Een roofdier op de Serengeti loopt ook niet gewoon voorbij als er een dood dier ligt dat door kan gaan als gratis maaltje voor onderweg. In dit geval?werd dus heel wat Big data snel weggeloodst.

Social Media gebruikers zijn gewillige targets van allerlei?vervelende software. Koobface?is bijvoorbeeld bekende malware die zich specifiek richt op (de naam doet het al vermoeden) Facebookgebruikers. Deze software werd door?oplichters slim ingezet tijdens de vermiste MH370, waarbij ??n klik op “brekend nieuws van CNN”, met de eerste foto’s of filmpjes van het gevonden vliegtuig, genoeg was om een virus binnen te halen. Firesheep is een andere tool waarmee je aan zgn. ‘sidejacking‘ kun doen; je kunt hiermee via een open Wifi (bijvoorbeeld in een hotel, restaurant of de trein) eenvoudig iemands Facebook sessie en ook account overnemen.

Wie is er aansprakelijk?

Maar denk maar niet dat social media partijen ook opdraven voor de geleden schade. Identiteitsfraude alleen al kostte in de VS 21 miljard (2012), en elke 2 seconden is er weer een?Amerikaan aan de beurt. Kinderen zijn de snelst groeiende groep slachtoffers. Zij maken?51 keer meer kans op deze vorm van fraude dan volwassenen. Reden: hun identiteit heeft nog?een ‘clean-sheet‘ bij de meeste instanties en social media partijen krijgen steeds jongere kinderen onder hun leden (ook al is 13 officieel de minimum leeftijd).

Facebook maakt goed?duidelijk?dat zij niet aansprakelijk zijn voor welke schade dan ook:

“We try to keep Facebook up, bug-free, and safe, but you use it at your own risk. We are providing Facebook as is without any express or implied warranties… We do not guarantee that Facebook will always be safe, secure of error-free.. [Y]ou release us, our directors, officers, employers, and agents from any claims and damages, known and unknown, arising out of or in any way connected with any claim you have.”

Marc vraagt zich af: Als?er op het etiket staat “Wij garanderen niet dat het product altijd veilig zal zijn” zou je het dan?kopen? Hoe kan het zijn dat wij dit klakkeloos overal maar accepteren als het over technologie gaat? Waar is de verantwoordelijkheid van software makers? Security expert?Mikko Hypponen?zegt erover: “Nuclear scientists lost their innocence when we used the atom bomb for the very first time. So we could argue computer scientists lost their innocence in 2009 when we started using malware as an offensive weapon.” In de automobiel industrie is het gelukt om integrale veiligheid te organiseren (in de VS de National Traffic And Motor Vehicle Safety Act?uit 1966), dus waarom niet met onze smartphones en?andere kritische spullen? Voordat we allemaal weer 50 miljard nieuwe spullen toevoegen vraag je je af of we het nu eindelijk goed gaan regelen. Er is uitgerekend dat Facebook?$8 dollar per jaar aan elke gebruiker?verdient. Maar voor dat bedrag?versnijden ze je data in kleine stukjes en verkopen die door aan een schimmige wereld van data dealers met mogelijk grote persoonlijke consequenties. Er zijn inmiddels heel wat mensen die Facebook best $10 dollar?willen betalen?om dat men hun persoonsgegevens niet meer te doen.

Treiteren, trollen of?erger

Stalken of cyberpesten is een net zo populaire vorm van misbruik met behulp van deze identiteiten, omdat het zo makkelijk is: je kunt er altijd en overal bij. Facebook stalking is zelfs een alledaags begrip geworden. Onderzoek?toont aan?dat zelfs 20% van de middelbare scholieren door het cyberpesten “serieus nadenkt over een zelfmoordpoging”. Sexting, sextortion (wraakporno)?zijn allemaal groeiende problemen. 67% van de studenten geeft aan ermee te maken te hebben. De website van Hunter Moore maakt het wel heel bond: alle wraakporno plaatjes (meestal van exen) worden automatisch voorzien van de echte social media profielen van Facebook of Twitter. 74% van de ouders geven aan niet mee te kijken met hun kinderen. Reden: ze snappen het toch niet, hebben geen tijd, geen energie?of zien geen mogelijkheden.?In de huiselijke kring kan?social media andersom ook een?grote?negatieve impact op je?leven hebben: 45% van de slachtoffers van huiselijk geweld geeft aan dat de daders hen online volgt of ook digitaal aanvalt. Neem bijvoorbeeld Paul Bristol die het vliegtuig uit Trinidad pakte na een Facebook update van zijn ex en haar na het zien van een foto met haar nieuwe vriend doodstak. Hate crime (haat gericht op?huidskleur, geloof, geaardheid, sexe, uiterlijk of anderszins) en vele andere vormen van digitale pesterijen nemen toe.?Zo maakte Channel 4 een documentaire?over de heftige jacht op homo’s in Rusland met daarin een voorval?van?1500 jonge?mannen die op Instagram, YouTube en Twitter voor de hele wereld werden vernederd en?de autoriteiten slechts toekeken,?terwijl sommigen voor het leven verminkt waren of zelfs stierven. Nooit iemand voor veroordeeld.

Censuur en?propaganda

Websites die antisemitisch zijn en de holocaust ontkennen of nazisme aanhangen worden in landen als Frankrijk en Duitsland openlijk gecensureerd. In Syri? worden diensten als?YouTube en Facebook geblokkeerd. Saoedi Arabi? blokkeert zelfs 400.000 websites en de Verenigde Arabische Emiraten blokkeren alle sites eindigend op .il omdat ze de Joodse staat niet erkennen. Maar China spant natuurlijk de kroon op het gebied van internet censuur, met 2 miljoen moderators en propaganda werkers. Er zijn volgens Freedom House?wereldwijd maar liefst 4 miljard mensen die in een land wonen die aan enige vorm van internet filtering (censuur)?doen. De overheid (maar ook?Facebook of Google) bepaalt dus was je in je gefilterde bubbel ziet. Andersom?gebruikt de VS zelf ook de online propaganda machine in haar strijd met Al-Qaida, en Rusland vertelt met wat hulp van internettrollen?online graag hun verhaal over Oekra?ne of de MH17. Lees en bekijk bijvoorbeeld wat alleen al Bellingcat hierover tegenkomt:

Broadcast live streaming video on Ustream

Naar internet content kijken is volgens Marc net als een dating site: “What you see is not always what you get“. En toch vertrouwen we erop. Volgens Nielsen vertrouwt 70% van de mensen online reviews net zoveel als het advies van hun vrienden. Toch blijkt uit ander onderzoek?dat 25% van de reviews complete onzin zijn. Sterker nog, het is bekend dat diensten flink rommelen met deze informatie, een fenomeen dat bekend staat als?astroturfing.

Social Engineering

Als je niet op Facebook zit, doet iemand anders dat wel voor je. Daar kwam ook Ron Noble?in 2010 achter, toenmalig?secretaris generaal van Interpol, toen de penoze een Facebook account voor hem aanmaakte. Maar?wat kun je met zo’n vals account? Een voorbeeldje:

Robin Sage, een jonge aantrekkelijke 25 jarige vrouw, werkte als cybersecurity analist bij de Amerikaans marine. Bij MIT afgestudeerd en stage gelopen bij de NSA. Net als iedereen van haar leeftijd was ze flink actief op Facebook, LinkedIn en Twitter. Toen ze net haar baan bij de marine had, sloeg ze lekker aan het netwerken met andere cybernerds die bij de overheid werkten. Al snel had ze 300 connecties, waaronder militairen en mensen op diverse plekken bij de inlichtingendiensten. Een hele reeks hooggeplaatste mensen hoorden daar ook bij. Hoewel sommigen twijfelden over haar uitnodiging, verzekerde zij ze dat ze elkaar toch echt op de laatste Defcon hadden ontmoet. De twijfelaars keken nog even naar haar profiel, maar zagen ook andere bekenden al in haar netwerk, waaronder veel van haar collega’s bij de marine. Lockheed Martin en andere bedrijven raakten zelfs zo onder de indruk?dat ze haar?benaderde voor een baan. Er was alleen ??n detail: Robin Sage bestond helemaal niet. Het was een experiment van security adviseur Thomas Ryan.

Crime Inc.

Data broker Experian verkocht?in 2013 per ongeluk bijna twee derde van alle gegevens over Amerikanen aan een malafide club uit Vietnam. Van 200 miljoen Amerikanen waren de zgn. ‘fullz‘ (alle persoonsgegevens) in criminele handen, waarmee je eenvoudig?een lening kunt aangaan uit hun namen. Op allerlei sites zoals SuperSet.info of FindGet.me kon je ze voor gemiddeld 20 set per setje kopen. Schattingen zijn dat 20% van alle Europeanen en Amerikanen al een keer digitaal over de toonbank zijn geweest. Medische identiteitsfraude of belastingfraude met valse identiteiten kost de Amerikaanse maatschappij?jaarlijks respectievelijk 5.6 miljard en?4 miljard per jaar.

Inbrekers kunnen ook een slaatje slaan uit de gratis Facebookgegevens. Zo werd in 2010 bekend dat een criminele groep uit Nashua, New Hampshire, Facebook gebruikte om meer dan 50 inbraken te plegen waarin ze zo’n $200.000 buit maakten. Online marktplaatsen?zijn ook populaire manieren om mensen op te lichten, of om gewilde?spullen te vinden.

Of neem de terroristische?Lashkar-e-Taiba aanval?in Mumbai uit 2008 die als gijzelnemers in de ene hand een vuurwapen en een smartphone wapen in de ander hadden. Tien mannen kregen via hun eigen social media ops centrum voor die tijd geavanceerde real-time contra-intelligence via hun smartphone binnen en be?nvloedden met hun actie het leven van 12 miljoen inwoners in die stad terwijl het?live over de hele wereld werd uitgezonden. 164 mensen overleefden die aanslag niet en 9 van de 10 gijzelnemers kwamen om. De enige overlevende werd in 2012?in India ge?xecuteerd. Marc beschrijft hoe criminelen?over een aantal jaar “Siri & Clyde” worden (of Bonnie & Cortana) waarin ze?met hun?smartphone een IBM Watson (Don Watson noemt hij het) aan de lijn hebben als criminele infocel.

Marc Goodman gebruikte deze casus al?in 2012 in zijn TED talk:

Dit is deel 3 van een vierluik als boekbespreking van Future Crimes van Marc Goodman. In het volgende en laatste artikel gaan we in op het Dark Web, cloud crime, crime sourcing, internetdingen en wat we kunnen doen om deze ontwikkelingen veilig te houden. Heb je artikel 1 en 2 al gelezen, of heb je het boek zelf gelezen? Misschien wil je dan je idee?n erover?hieronder delen?

Veel organisaties staan voor de uitdaging om de enorme hoeveelheid informatie op social media tijdens evenementen of incidenten te filteren. Social media hebben de kracht om informatie snel te verspreiden. Deze informatie kan prima gebruikt worden, want met name tijdens incidenten gaat dat ultiem snel.

Twitcident is een social media intelligence platform dat ontworpen is om informatie op social media te filteren en waarschuwingen af te geven?en?incidenten te managen. Het probeert als het ware de menselijke zintuigen op social media om te zetten in nuttige informatie voor veiligheid en andere maatregelingen voor de openbare orde. Taalgebruik op social media verschilt met het taalgebruik van organisaties. Twitcident probeert de juiste informatie hier uit te halen, ze doen doen dit samen met een aantal onderzoekers van TNO en TU Delft. Uit de socialmedia-inhoud proberen we bruikbare inzichten te filteren, zegt Richard Stronkman oprichter van?Twitcident. Inzichten die relevant zijn voor de dagelijkse operatie en veiligheid tijdens grote incidenten.

Bij grote evenementen kunnen nu tienduizenden twitterberichten worden gefilterd en teruggebracht tot een bruikbaar aantal, waarmee de politie de veiligheidssituatie in de gaten kan houden. De ontwikkeling begon in 2011 toen Pukkelpop werd getroffen door noodweer en er doden vielen. ?Hadden we dat niet via social media zien aankomen??, vroeg Stronkman zich af. ?Zaten er signalen in de socialmediastroom die we hadden kunnen oppakken?? Een inhoudelijke analyse destijds, liet zien dat men wel over het weer praatte. Op verschillende locaties. Ook liet analyse zien dat de intensiteit op bepaalde locaties in korte tijd toenam. Onder andere in de omgeving van Pukkelpop. ?Als we toentertijd al alle socialmediadata hadden geanalyseerd, zoals we dat nu kunnen, had de organisatie van Pukkelpop waarschijnlijk niet het advies gegeven om iedereen in tenten te laten schuilen, maar hadden we de aanpak van afgelopen Pinkpop gehanteerd en mensen op het veld laten zitten.?

Een ander voorbeeld uit het pre-Twitcident-tijdperk is het befaamde?Project X ?incident uit het Groningse Haren. In alle chaos werd er getwitterd dat er een meisje was doodgedrukt. Dit werd in no time als nieuwsfeit geretweet. Voordat men het wist, domineerde het bericht een tijd lang het socialmediaverkeer, waardoor het gerucht een eigen leven ging leiden. Met de attentiewaarde van het onjuiste bericht ging de aandacht niet uit naar andere signalen op social media die relevant waren om de veiligheid in Haren weer enigszins terug te brengen.

Begin?2012 is er?onderzoek?gedaan?naar het gebruik van sociale media in het veiligheidsdomein. Hieruit bleek dat het veiligheidsdomein sociale media vooral inzet om informatie te geven over het werk, de organisatie en bij incidenten en calamiteiten. Het begint met luisteren.?In een onderzoek onder alumni Master Crisis and Disaster management en Master Crisis and Publicorder Management en onder deelnemers aan de opleiding Informatiemanager in de crisisbeheersingskolom zijn opvallend grote verschillen te zien qua gebruik van sociale media. Als het gaat over het gebruik van sociale media binnen de werkzaamheden, dan worden deze vooral als informatiebron benut. Wat opviel is dat het overgrote deel niet effici?nt luisterde op sociale media. In Enschede bij Serious Request is daarna veel ervaring met filtering en luisteren naar berichten opgedaan.

Op 30 april 2013 tijdens de troonswisseling in Amsterdam verwerkte Twitcident een half miljoen socialmediaberichten per uur. Hoe ga je daar de relevante berichten uithalen als het gaat om veiligheid? Niet alle berichten zijn belangrijk. Door een geavanceerd algoritme op alle socialmediaberichten, gecombineerd met gps-informatie van politie in de stad, kon de politie in de crowd control-kamer precies zien waar mensen nog normaal door de straten konden lopen en waar niet meer. ?Zo konden we de veiligheid en doorstroom goed beheersen.?

Het is moeilijk te zeggen wanneer iets op social media opeens duidt op een incident. E?n tweet van iemand met ?Ik sta in Den Haag en zie vuurwerk? is niet interessant, 10 mensen die tweeten ?Ik sta in Den Haag en zie vuurwerk? mogelijk wel. De algoritmes van Twitcident zijn complex. De kunst zit hem in het filteren van alle ruis. Een tweet met #Brand kan gaan over ?vuur?, maar ook over ?bier?. Het gaat om het observeren van een periode en de hoeveelheid socialmediaberichten op basis van locatie en mogelijke risico?s. De kunst zit in zo snel mogelijk bij het oorspronkelijke bericht te komen, zodat je kunt ingrijpen.

Een voorbeeld waar Twitcedent zijn ook meerwaarde toonde, was tijdens het Rotterdamse carnaval. Er was sensatie. Iemand had getwitterd dat er een man rondliep op het Beursplein met messen. Door het vroeg detecteren van de tweets en retweets, kon de politie ter plaatse een seintje krijgen. Die ging vervolgens een kijkje nemen en maakte een foto van het plein waar de man met messen zogenaamd stond. Dus niet. Deze foto werd direct geplaatst en het gerucht was met dezelfde snelheid weer weg.

Social media monitoring wordt inmiddels veelvuldig ingezet, ook bijvoorbeeld dit jaar in de Innovation Room van de Nuclair Security Summit. Twitcident zorgt er ook voor de partners binnen de Veiligheidsregio Groningen binnen enkele minuten ge?nformeerd worden over een gevoelde aardbeving in de regio. Het systeem zoekt naar tweets van mensen die een beving melden en stuurt vervolgens een mail en sms naar de aangesloten personen en de meldkamer. Vervolgens blijft het systeem tweets verzamelen om snel een beeld te kunnen vormen van de ernst van de situatie. Door de snelle alertering kunnen betrokken hulpverleningspartijen gebruiken voor snelle beeldvorming. In het verleden waren ze voor de alertering in eerste instantie afhankelijk van het KNMI die pas na een aantal uren kan aangeven dat er een aardbeving is geweest en hoe zwaar deze was.

Bron: Securityfacts

Social Media DNA

SocialMediaDNA richt zich op kennisdeling rondom social media, politie en maatschappelijke veiligheid. Onderwerpen vari?ren van de online aspecten van openbare orde, opsporing, vervolging, rechtspraak tot crisisbeheersing en communicatie.

Tagarchief: software

Social media kunnen veiligheid brengen