Cybercriminaliteit – onzin en kennisgebrek

Cyber is een voorvoegsel bij alles dat met internet te maken. We kennen cybercriminaliteit, -oorlog, -pesten, -seks en meer. Over allerlei onderwerpen rond Cyber verschijnen met grotere regelmaat berichten. En ik begin me er steeds meer aan te ergeren, vooral als het gaat over cybercriminaliteit.

Afgelopen week weer enkele artikelen, bijvoorbeeld over het gebruik van irisscopie en vingerafdrukken. Vandaag over een vrouw die, nadat haar auto was gestolen, nog jaren wordt belast met boetes.

Cybercriminaliteit ergernis

Uitleggen waar mijn ergernis vandaan komt is lastig. Om te beginnen is cybercriminalliteit een breed onderwerp. Mijn argumenten worden gevoed door kennis, persoonlijke ervaringen en dergelijke. Het is lastig om er iets uit te pakken.

In enkele woorden komkt mijn ergernis voort uit de ontkenning of gebrek aan kennis bij overheden, bedrijfsleven en vrienden van met name cybercriminaliteit. Het lijkt alsof mensen het tegen-beter-in willen wegdrukken. En dan wellicht denken dat het niet betaat of dat het wel over waait.

Dit bericht lag al langer in de week. Maar cybercriminaliteit heeft zoveel invalshoeken. En de ontkenning om me heen stimuleerde me niet, als was het maar een voorbeeld, er iets over te schrijven.

Clinton en Patterson

Deze week verscheen het boek President Vermist, geschreven door oud-president Bill Clinton en thrillerschrijver James Patterson. Het boek handelt over een cyber aanval. In hun promotiecampagne was, naast wervende PR-tekst, ook ruimte voor een serieuze boodschap.

‘We geloven dat cybercriminaliteit het land kan platleggen’, zei Clinton, ‘maar veel mensen lijkt het niet te kunnen schelen. Zelfs niet na alle voorbeelden van cybercriminaliteit die we al hebben ervaren’.

Het lijkt voor velen inderdaad een ver van hun bed show. Maar dat is het beslist niet.

De computer

Denk eens aan de overheidscomputer waar de vrouw met de gestolen auto tegenaan liep. Ok, het is geen cybercriminaliteit, maar een blindelings vertrouwen van een ambtenaar in de computer.

Wie heeft niet ook zoiets meegemaakt. ‘Het staat in de computer’, de dooddoener van een niet meer zelf nadenkende medewerker van een organisatie.

Irisscopie en vingerafdrukken

En neem het artikel van vorige week over de invoering van irisscopie en vingerafdrukken, ter vervanging van wachtwoorden. Ik denk nog niet eens per se aan de problemen die mensen al persoonlijk hebben ondervonden.

We maakten het immers allemaal mee of hoorden het van anderen. Mensen kregen hun mobiele telefoon niet meer open met hun vingerafdruk. Ze hadden een sneetje in hun vinger, de vinger was te vet of er was een andere reden.

Unieke inlogcode

De techniek en het gebruik vind ik triester. De genoemde voordelen zijn onder andere dat je je oog en vinger altijd bij je hebt en dat ze uniek zijn. Je hoeft geen wachtwoorden meer te onthouden en kunt je ogen en vingers overal gebruiken.

Maar je hebt maar één setje. Als een wachtwoord wordt gestolen (gehackt), dan maak je een nieuwe. Bij je ogen en vingerafdrukken is dat onmogelijk.

Meerdere wachtwoorden, één paar ogen

Als het goed is gebruik je verschillende wachtwoorden voor het inloggen bij bedrijven. Wordt bij een bedrijf een wachtwoordenbestand gestolen, met ook jouw wachtwoord, dan hoef je alleen voor dat bedrijf een nieuwe te bedenken.

Maar wordt het bestand met jouw vingerafdruk gestolen, dan kan dat door bijvoorbeeld cyber-criminelen (maar ook overheden en bedrijven) overal worden gebruikt. En bewaard tot in lengte van dagen. En er hoeft maar één bedrijf zijn beveiliging niet op orde te hebben of één medewerker zich te laten verleiden tot criminaliteit …

Overheid

De overheid maakt zich druk over de wijze waarop burgers zich beveiligen met slechte wachtwoorden. Maar zelf is ze de grootste gatenkaas. De kans dat de overheid (en bedrijven) wordt gehackt is vele malen groter dan dat een individu dat overkomt*. Veel software, bij bedrijven en overheden, is verouderd, bevat programmeerfouten en dergelijke.

Het is schrikbarend als je weet hoeveel potentiële problemen er zijn. En hoeveel calamiteiten er elke dag al daadwerkelijk plaatsvinden. We mogen blij zijn dat de meeste softwarefouten op tijd worden hersteld. Bijvoorbeeld voor er rampen plaatsvinden. Maar ik weet zeker dat er al een paar ongelukken zijn gebeurd, die met een verzonnen verhaal werden verklaard.

Wanneer horen we dat bijvoorbeeld de stroomuitval in Amsterdam Zuidoost en Schiphol, eind april dit jaar, een softwarefout was of erger (bijv. gevolg van cybercriminaliteit).

Techniek

Even terug naar irisscopie en vingerafdrukken. Apple introduceerde een aantal jaaren geleden enthousiast de ‘onkraakbare’ vingerafdrukscanner. Het had miljoenen gekost, maar nu kon je je smartphone absoluut beveiligd openen. Helaas toonde een Duitse hacker al vrij snel hoe je, met een plakbandje, de scanner kon belazeren.

Het is vooral de techniek waarover ik me zorgen zou maken, als overheid die zijn burgers wil beschermen. Veel van de huidige technieken (bluetooth, wifi, ROS e.d.) zijn al eenvoudig te kraken door kwaadwillenden. En sommige daarvan zijn nog niet eens helemaal uitgerold, zoals NFC.

En de producenten die beweren dat ze een nieuwe, innovatieve, niet te kraken oplossing hebben. Onzin. Als rasoptimist zeg ik toch ‘we zullen het zien’. Slotenmaker ‘de ouwe Lips’ zei me ooit ‘we kunnen alleen proberen dieven steeds een stapje voor te blijven’. Dat geldt ook voor cyberdieven.

Mensenwerk

Maar ik vind sowieso dat we wel wantrouwiger mogen zijn. Zoals gezegd, er hoeft maar één kwaadwillende medewerker te zijn. Software schrijven is mensenwerk.

Los van die kwaadwillende medewerker is het niveau van de huidige programmeur bedenkelijk. Dat heeft niets te maken met de huidige, zogenaamde complexiteit, zoals vaak wordt beweerd. Maar alles met werkwijze en organisatie. Er wordt met teams gewerkt aan deelopdrachten. Bovendien programmeert de ICT’er daarbij nauwelijks zelf. Maar bouwt hij vanuit bibliotheken met eerder geschreven functies, een gedrocht.

Ik wil het hier niet hebben over hoe automatiseringsprojecten bij overheden en bedrijven worden georganiseerd en opgezet. Maar ik weet wel dat de oplossing in veel gevallen eenvoudiger kan, met minder kosten en minder problemen achteraf. En door die eenvoud met makkelijker beheer en bescherming.

Criminelen slapen nooit

De programmeur werkt vijf dagen in de week van 9 tot 5. Een crimineel slaapt nooit. De programmeur, maar wij ook, moeten alle ramen en deuren steeds sluiten. De crimineel hoeft alleen te kijken waar een raam of deur open is gebleven.

Vroeger moest hij dat fysiek doen. In de wereld van cybercriminaliteit kan hij dat automatiseren en op afstand. Het gaat daarbij niet meer om jouw televisie, verzameling schilderijen of losliggend geld. Hij plundert je bankrekening, bestelt producten op jouw naam of neemt je identiteit over.

Niet per se doordat jij een digitale deur hebt openstaan. Nee, veel liever steelt hij jouw gegevens en die van vele anderen, bij een overheid of bedrijf. Hij krijgt daarmee toegang tot jouw computer. En tot alle poorten die jij opent met jouw iris of vingerafdruk.

Meer informatie:

  • Wat naar buiten komt over cybercriminaliteit is een topje van de ijsberg. Vaak wordt het stilgehouden. Er zijn ook gevallen bekend waarbij de betrokkenen niet eens wisten dat een calamiteit door cybercriminaliteit was veroorzaakt. We weten ook niet wat er allemaal wordt geregistreerd (en gebruikt, misbruikt en/of verhandeld) door overheden, organisaties en bedrijven.  Zo maar wat voorbeelden:
    • We kennen de malware (virussen en trojans) die vanaf 1999 computers platleggen. Die werden geleidelijk beter en eisten meer slachtoffers (Melissa (1999), ILOVEYOU (2000), Code Red (2001), Slammer (2003) en Sasser (2004)
    • Nepnieuws bestaat natuurlijk al zolang als er mensen zijn. De eerste van de nieuwe tijd was wellicht in 2000 het bericht van Mark S. Jakob. de 23-jarige student uit Californië meldde dat de CEO van een belangrijke organisatie zou aftreden. Het bericht in Wire werd over de hele wereld overgenomen en zorgde voor een dramatische beursdag.
    • In 1994 hackte de Russische computerprogrammeur Vladimir Levin de computers van Citibank. Hij stal ruim 10 miljoen dollar door bedragen over te maken naar rekeningen van handlangers in o.a. Nederland.
    • In 2001 werd een rioolwaterzuiveringsinstallatie gehackt in het Australische Maroochydore. De hacker liet miljoenen liters onbehandeld rioolwater weglopen in rivieren, parken en andere openbare ruimte.
    • In 2001 werd een medewerker van een autofabriek doodgedrukt door een robot. In 2015 meldde het OSHA dat dit alleen al in  Amerika minstens veertig keer is voorgekomen. Kenji Urada, een 37-jarige medewerker van Kawasaki, was in 1981 een van de eerste die werd gedood door een robot. Het is een van de moordmethoden in Doodskleur van David Baldacci
    • In Amerika en Canada viel in 2003 de stroom uit. Ruim 50 miljoen mensen zaten dagenlang zonder strom door een fout van een beheerder en een programmeerfout. Amerika heeft het ingewikkeldste elektriciteitsnet ter wereld. Het werkt grotendeels op het verouderde SCADA-systeem en volgens de regering worden voortdurend cyberaanvallen uitgevoerd. Andere Amerikaanse nutsbedrijven melden dagelijkse of minstens regelmatige aanvallen. Deze lopen uiteen van malware en phishing tot pogingen een computerysteem binnen te dringen of plat te leggen.
    • TJX, het moederbedrijf van een aantal grote winkelketens in Amerika en Europa werdin 2007 aangevallen. Hackers stalen de creditcardgegevens van ruim 45 miljoen klanten.
    • In 2010 lekte bijna 5 miljoen vaten olie in de Golf van Mexico na een computerprobleem op boorplatform Deepwater Horizon. De hoofdtechneut zag kort voor de explosie een ‘scherm des doods’ op zijn computerscherm (cybercriminaliteit?)
    • Marketingbedrijf Acxiom bewaart miljarden records van, ook Nederlandse, consumenten. In 2003 stal Scott Levine ruim 1,5 miljard records. Tien jaar later verkocht Experian, een soortgelijke handelaar in persoongegevens, per ongeluk persoonsgegevens van ruim 200 miljoen Amerikanen aan een Vietnamese misdaadbende.
    • In 1998 legde een tiener een deel van de computers plat op het vliegveld van Worcester, Massachusetts. Er was geen communcatie meer mogelijk tussen inkomende vliegtuigen en de verkeerstoren. De verlichting op de landingsbaan was ook uitgeschakeld.
    • In Brazilië zijn rond 2006 talrijke cyberaanvallen uitgevoerd op nutsbedrijven, vooral in rio de Janeiro. Overheidsorganisaties werden gechanteerd en gingen veelal over tot betaling. Een organisatie deed dat niet. Drie miljoen mensen zaten kort na de weigering zonder stroom en de industrie moest overschakelen op noodvoorzieningen.
    • In 2007 deed de Amerikaanse marine een oefening met het storen van GPS. Het gevolg was dat in San Diego de stroom uitviel. Niets werkte meer op het vliegveld, in het ziekenhuis en in de haven. Mobiele telefoons deden het niet en pinautomaten weigerden dienst.
    • Begin 2008 zorgde een 14-jarige scholier voor een verkeerschaos in de Poolse stad Łódź. Nadat hij de wissels had gehackt, beidende hij met een infrarood afstandbedening meerdere kruispunten van de tramlijn. Men dacht eerst aan kortsluiting, maar het werd al snel duidelijk dat het kwade opzet was.
    • In 2008 plande de 25-jarige Rezwan Ferdaus uit Ashland, Massachusetts een aanval op het Capitool en het Pentagon. Hij wilde met drones, geladen met bommen, tegen de gebouwen vliegen. Hij deed uitgebreid onderzoek en nam daarna contact op met Al Qaida. Zijn actie werd verijdeld doordat een lid van een moskee, benaderd door Ferdaus om contact te krijgen met Al Quida, bijtijds contact opnam met de politie.
    • Overheden en bedrijven willen de burgers weliswaar laten geloven dat biometrie extreem veilig is. Toen in 2008 Wolfgang Schäuble, toenmalig minister van Binnenlandse Zaken, vurig voor vingerafdrukken pleitte, haalden leden van een Computer Club zijn vingerafdruk van een waterglas. Ze vermenigvuldigden het in plastic en vroeger iedereen zich uit te geven voor de minister.
    • De 27-jarige Chinese Lin Ring was Japan uitgezet en wilde terug. Ze liet in 2009 haar vingerafdrukken veranderen dor een plastisch chirurg. Het lukte haar daarmee biometrische sensoren te misleiden en terug te keren naar Japan. Haar terugkeer werd later bij toeval ontdekt.
    • In 2010 bleek uit een onderzoek van CBS News dat vanaf 2002 de meeste (zo niet alle) kopieerapparaten een interne harde schijf hebben. Daarop worden alle gekopieerde en gescande documenten bewaard. Veel van de moderne versies van deze apparaten zijn tegenwoordig verbonden met internet.
    • In 2011 was er een cyberaanval op de centrale computer van de waterzuiverings- en rioleringsdienst van South Houston in Texas.
    • Vanaf 1996 zijn in meerdere landen OBD-systemen in auto’s verplicht. In 2013 meldde de Londonse politie dat bij minstens de helft van de gestolen auto’s in London het OBD-systeem was gehackt.
    • In zijn autobiografische boek ‘Ik strijd tegen terroristen’ beschrijft de terrorist Iman Samudra hoe terrorisme wordt gefinancierd met cybercriminaliteit. Toen nog met name creditcardfraude, door hacken van computers en stelen van creditkaartgegevens.
    • In 2011 ontdekte de Filipijnse politie en FBI een telefoonzwendel, waarbij AT&T en zakelijke klanten daarvan voro miljoenen dollars waren opgelicht. De Filipijnse hackers werkten onder andere samen met terroristen van Jemaah Islamia.
    • In 2013 vond een cyberaanval plaats op de betaalapparaten van Target, een Amerikaanse winkelketen. Tijdens de kerstdrukte werden daar, naar later bleek door een 17-jarige Russische hacker, de gegevens van ruim 100 miljoen klanten gestolen. Dat is 30% van de Amerikaanse bevolking. Het werd een jaar later overtroffen door de roof van 1,2 miljoen gebruikersnamen, wachtwoorden en overige gegevens. Eerder waren van Sony Playstation al inloggegevens van gebruikers gestolen
    • In juni 2015 werd de Poolse nationale luchtvaartmaatschappij LOT getroffen door een cyberaanval, waardoor alle vluchten van en naar de luchthaven Chopin in Warschau geannuleerd moesten worden.
    • ETC.
  • Dichter bij huis en in het kader van irisscopie en vingerafdruk. Student tegen vingerafdruk in database van gemeente (2010). Je vingerafdruk afgeven is verplicht bij aanvraag paspoort. Een jaar (2011) later werd gemeld dat de vingerafdruk uit de database zouden worden verwijderd. In 2015 bleek dat overheid alle opgeslagen biometrische gegevens mag gebruiken voor misdaadbestrijding. In 2016 werd afgeven van vingerafdruk en gezichtsherkenning in paspoort verplicht
  • Zie bericht ‘onnodige vanzelfsprekendheid
Print deze pagina
Bovenstaand bericht is geschreven op 9 juni 2018 door in de categorie 2018, Algemeen

Vorige en volgende berichten

« Ouder: Nieuwer: »

Een willekeurig bericht

Ik schrijf op deze site over allerlei onderwerpen. Soms is het heel persoonlijk, soms vooral informatief of beschouwend. Hieronder een willekeurig bericht uit ruim 2000 berichten.

Comments are closed.