Tien ijzersterke verhalen die je hacken beter doen begrijpen
De recente hack van vreemdgaansite Ashley Madison is er één in een lange reeks spectaculaire, recente inbraken. En achter iedere hack schuilt een interessant verhaal. Ik heb tien van die verhalen geselecteerd.
In Nederland worden niet zoveel lange en diepgravende verhalen geschreven over hacken. In de Amerikaanse bladen juist wel, zeker de laatste tijd. Maak de komende week tijd vrij in je agenda en lees (en bekijk) deze verhalen. Je zult de wereld van hacken en cybercrime voortaan een stuk beter begrijpen.
1. Hoe Nederlandse criminelen de haven van Antwerpen lieten hacken
Dit verhaal is een mooi voorbeeld van hoe de onderwereld het hacken heeft ontdekt.
Binnenkort staat een aantal Belgen en Nederlanders voor de rechter wegens drugssmokkel. De drugs zouden in een container de haven van Antwerpen zijn binnengekomen.
Tot zover weinig bijzonders.
Opvallend aan deze zaak is dat de Nederlandse drugshandelaren de hulp inschakelden van twee Belgische ICT-consultants om te infiltreren in de computernetwerken van een van de vervoerders. Zo konden ze het vrachtverkeer in de gaten houden en de containers met drugs volgen en onderscheppen.
De hackers zeggen nu dat ze niet uit eigen beweging handelden, maar gedwongen werden door de drugscriminelen. Sterker nog, ze claimen dat ze de criminelen actief hebben tegengewerkt door slechte apparatuur en software te leveren.
2. Waarom is het internet zo onveilig?
The Washington Post is in mei een prachtige serie gestart over de (on)veiligheid van het internet. De schrijvers doen een aantal dingen heel goed.
Ten eerste duiken ze de geschiedenis in en laten ze zien hoe veel problemen waar we nu tegenaan lopen (zoals het gebrek aan anonimiteit) zijn ontstaan.
Ten tweede leggen ze heel goed uit hoe de technologie van het internet werkt. Je zult niet vaak een verhaal tegenkomen over het Border Gateway Protocol (BGP), een protocol dat van essentieel belang is voor een goed functioneren van het internet.
3. Deze club zit achter de lucratiefste botnet ooit gemaakt
Als je meer wilt weten over cybercrime, kun je eigenlijk niet om de Amerikaanse journalist Brian Krebs heen. Hij is vaak de eerste die over grote hacks schrijft. Daarnaast heeft hij veel onderzoek gedaan naar Oost-Europese en Russische hackers, spammers en cybercriminelen.
In dit verhaal belicht hij een onderzoek van het Nederlandse beveiligingsbedrijf Fox-IT naar de bende achter het beruchte ZeuS-botnet. Een botnet is een verzameling computers (soms tienduizenden) die door kwaadwillenden zijn besmet. De hackers kunnen de computers vervolgens voor hun eigen, vaak niet al te frisse doeleinden gebruiken. Het ZeuS-botnet werd vooral gebruikt om bankgegevens te ontfutselen van individuen en bedrijven.
Krebs schrijft in dit stuk over de Business Club, de kleine groep criminelen die het ZeuS-botnet heeft ontwikkeld en tot een commercieel succes heeft gemaakt. Het stuk geeft een zeldzaam inkijkje in hoe, in dit geval Russische, cybercriminelen opereren.
4. Hoe hackers Sony op de knieën dwongen
Sony Pictures lag vorig jaar onder vuur toen hackers ervandoor gingen met allerlei bedrijfsdocumenten en e-mails. De daders zeiden uit wraak te handelen voor de film The Interview, een flauwe komedie waarin de Noord-Koreaanse leider Kim Jong-un wordt vermoord.
Magazine Fortune reconstrueert aan de hand van de gelekte documenten hoe de film tot stand is gekomen, welke spanningen er heersen bij Sony en hoe de hack plaats heeft kunnen vinden. Het verhaal biedt goed inzicht in de overwegingen waar grote bedrijven voor staan als het gaat om bescherming van hun eigendommen in een vijandige online omgeving.
5. Hoe de NSA slachtoffer werd van zijn eigen wapens
Een aantal keurige cryptografieprofessors speelde eerder dit jaar even voor hacker. Ze toonden aan dat de Amerikaanse inlichtingendienst National Security Agency (NSA) in de ijver om alles en iedereen te kunnen hacken de bescherming van veel computersystemen in de jaren negentig doelbewust had ondermijnd. De NSA bleek echter zelf ook kwetsbaar voor het veiligheidslek. De onderzoekers brachten dit aan het licht en hackten de site van de inlichtingendienst.
Cryptoprofessor Matthew Green schreef er een goed stuk over (sowieso kan ik zijn blog over cryptografie van harte aanbevelen). Het blog geeft een mooi inzicht hoe de beveiliging van onze online infrastructuur werkt en hoe suffe fouten en onnadenkendheid die beveiliging kan breken.
6. Breek de motorkap van je computer open
Op het eerste gezicht is het makkelijk om het met schrijver Samuel Arbesman oneens te zijn. Hij claimt dat computers te makkelijk te bedienen zijn. Als gebruiker zien we alleen nog maar de glimmende buitenkant. We werken met apps en kant-en-klare programma’s die zich met één click laten installeren. Al het denkwerk wordt door Apple, Google, Microsoft, Samsung en andere grote bedrijven gedaan.
Met dit gebruikersgemak is echter ook iets verloren gegaan, namelijk de hackercultuur, meent Arbersman. Hacken is simpelweg iets bestaands veranderen op een manier die de maker niet had voorzien. Noodzakelijk voor innovatie en betere bescherming, zegt hij.
Ik ben wat minder pessimistisch over de teloorgang van de hackerscultuur, maar deel zijn mening dat we meer kennis moeten krijgen over wat er nu precies onder de motorkap van onze apparaten gebeurt.
7. Iedereen kan je telefoon afluisteren
Op de Chaos Computer Conference eind vorig jaar onthulden onderzoekers dat het internationale telefoonverkeer vrij makkelijk te onderscheppen is. Het probleem zit hem in de verouderde computerinfrastructuur die de afhandeling regelt van het internationale telefoonverkeer. Die infrastructuur is ontworpen en gebouwd in tijden waarin online criminaliteit nauwelijks bestond.
Dit verhaal toont volgens mij mooi aan hoe moeilijk online beveiliging is. De beveiliging is zo sterk als de zwakste schakel en online zijn er vaak nu eenmaal heel veel schakels. Het toont ook de noodzaak om het achterstallige onderhoud op internet eens aan te pakken.
8. Veiligheidslekken te koop
Als je een computersysteem wilt hacken, heb je een ingang nodig. Een zwakte in de software, een lek dat de programmeur over het hoofd heeft gezien. Zulke zwaktes worden continu ontdekt door beveiligingsonderzoekers en gebruikers en, als het meezit, verholpen door de eigenaar van de software. Maar sommige zwakten worden niet gemeld en blijven onbekend. De zero days.
De laatste jaren is er een levendige handel in ontstaan, waarbij ontdekkers van zero days tienduizenden tot honderdduizenden euro’s kunnen verdienen door kennis over hun ontdekte lek te verkopen.
VPRO’s Tegenlicht had vorig jaar een mooie uitzending over deze handel en bezocht de hackers en bedrijven die geld verdienen met andermans softwareprobleem.
9. Hackers nemen een Jeep over - terwijl je erin rijdt
Een opzienbarend verhaal in Wired enkele weken geleden. Nu auto’s rijdende computers zijn geworden, zijn ook zij potentieel doelwit van hackers geworden. Om die onveiligheid aan te tonen, kroop de auteur achter het stuur van een Jeep en liet twee hackers de controle over zijn auto overnemen. Lees dit bizarre verhaal.
10. Het is oorlog: hacktivists helpen spionnen en het leger
Hacken als activisme. Een paar jaar geleden werd het pas echt groot. Over de hele wereld sloten hackers zich bij het online leger van Anonymous aan.
Anonymous is nooit bang geweest om machtige vijanden aan te pakken. De eerste was Scientology. Maar ook een aantal beveiligingsbedrijven, Amerikaanse en Engelse overheidsorganisaties, banken en PayPal waren doelwit.
Hoewel Anonymous aan kracht lijkt te hebben ingeboet, is het collectief nog steeds actief. Sinds ongeveer een jaar strijden sommigen tegen Islamitische Staat. Die terreurorganisatie gebruikt Twitter om volgelingen te rekruteren en propaganda te verspreiden. Anonymous probeert ze tegen te houden en dwars te zitten.
In dit interessante verhaal van The Register wordt deze campagne belicht.