De week van 29-01-2018 in cybercrime. Wat is er de afgelopen week allemaal gebeurd? Een kort en onvolledig overzicht.

DDoS

In het begin van de week hadden we nog flink last van DDos aanvallen. De banken, de belastingdienst, DigiD, maar ook minder bekende diensten lagen er (tijdelijk) uit. En dan begint natuurlijk het grote speculeren: wie zit erachter? Is het wraak op de AIVD/MIVD door boze Cozy Bear aanhangers? Zijn het de illegale streamers die hun gram willen halen na een gerechtelijke uitspraak? Is het misschien een collectief van ZZP’ers die zo proberen om hun Q4 BTW aangifte uit te kunnen stellen?

DDoS aanvallen zijn heel lastig de attribueren. Wie zit erachter? Weten we niet – moeten we uitzoeken. En dat kost tijd. De waarom-vraag is al helemaal lastig te beantwoorden. Speculaties dat de DDoS aanvallen een afleidingsmaneuvre zijn om andere cybercriminele activiteiten te verbergen zouden kunnen kloppen, maar waarschijnlijker is het ‘gewoon’ een DDoS.

 

Mislukte bitcoin-roof

Op 22 januari braken vier gemaskerde mannen in bij de Britse bitcointraders Danny Aston and Amy Jay. Ze dwongen Danny om achter de computer te gaan zitten en zijn bitcoins over te maken naar hun wallet. Met zijn vrouw vastgebonden en zijn baby buitengezet had hij geen keus, en maakte de bitcoins over. Dachten de inbrekers. Achteraf bleek dat Danny ze gefopt had. Les voor bitcoinbezitters: houd er rekening mee dat je ook nog ouderwets beroofd kan worden. Les voor aankomende bitcoincriminelen: je er misschien eerst wat meer in verdiepen.

En dat brengt ons op:

 

Het boek

Cybercrime en cyber security zijn lastige onderwerpen voor het grote publiek. Het is dan ook belangrijk dat de voorlichting helder is…. En klopt. Afgelopen week ontstond grote ophef in de cyber community over het boek “de wereld van cybersecurity en cybercrime” van Willem Vermeend en Rian van Rijbroek. Men beweerde dat het boek vol onjuistheden staat. En dat wat wel klopt blijkt geplagieerd. Ik had het graag zelf gecontroleerd, maar het boek is ondertussen uit de boekhandel gehaald.

Er wordt in de cybersecurity veel nagepraat, en er zijn veel zelfbenoemde experts. En dat wordt een probleem als de feiten niet blijken te kloppen. De ophef is wat mij betreft dan ook een goede zaak voor de cybersecurity wereld: blijf scherp en blijf controleren. Laat meningen geen feiten worden, en feiten niet tot meningen gedegradeerd worden. Kudos voor Joost Schellevis voor het controleren van het boek. En kudos voor de community, waar mensen openlijk durven te zeggen: “Smart blockchain? Ik weet niet wat dat is.”

Het verhaal kreeg overigens nog een staartje met het Telegraafbericht dat Rian een meesterhackende contraspion is. Ze zegt het zelf.

 

The internet of… pills?

Abilify MyCite is goedgekeurd door de Amerikaanse Food and Drug Administration. Het is bij mijn weten de eerste pil met een ingebouwde digitale sensor die doorgeeft of je de pil hebt ingenomen, en die informatie doorgeeft aan… je arts? Je psychiater? De hacker om de hoek? Zo’n goedkeuring betekent dat de pillen veilig zijn bevonden, maar zijn ze ook getest op cyber security? Laat me raden….

De pillen zijn bedoeld voor mensen met schizofrenie of bipolaire stoornissen. Ze helpen natuurlijk omdat deze mensen altijd dachten dat ze bespioneerd werden, en nu kunnen rusten in de zekerheid dat dat ook echt zo is.

 

OM richtlijnen voor cyberstraffen

Hoeveel straf moet je nou eisen voor al die verschillende vormen van cybercrime? Het OM heeft hier afgelopen week richtlijnen voor gepubliceerd. Een goede zaak, want het aura van cybercrime als speciaal en een beetje eng is uit de tijd. Standaardiseren en normaliseren! En het is natuurlijk wel zo eerlijk als Limburgse hackers dezelfde strafeis krijgen als Amsterdamse hackers.

 

Do or do not. There is no try.

Jonge hackers kunnen als HALT straf aan het werk worden gezet bij een IT bedrijf. Het idee is dat ze daardoor leren dat ze hun nieuwsgierigheid en hackerskunsten ook voor goede dingen in kunnen zetten. Beter voor het hackertje, en beter voor de maatschappij. Na een proef met twee Drentse hackertjes wordt project Yoda nu verder in Nederland uitgerold.

Een uitstekend initiatief. Bijsturen in plaats van criminaliseren. Beter voor iedereen. Niet alleen hoop ik dat het project een succes wordt, maar ook dat we met z’n allen nog een extra stap kunnen nemen: de jonge hackers nog voordat ze het verkeerde pad opgaan voorlichten en de mogelijkheid geven om te zien wat voor coole en nuttige dingen ze kunnen doen zonder de wet te breken.

 

Maar dat kunnen we natuurlijk niet allemaal aan het OM overlaten. Misschien leuk voor de politiek. Want het is natuurlijk wat duurder en ingewikkelder dan alleen de opgepakte hackertjes bijsturen, maar het betaalt zich in 5 a 10 jaar dubbel en dwars terug voor de Nederlandse economie.

 

Adobe Flash

Er is weer eens een Flash security vulnerability gevonden. KISA, de Zuid-Koreaanse CERT meldde dat er een exploit in het wild was aangetroffen – een Microsoft Excel sheet met een embedded Flash object. De exploit downloadt de ROKRAT malware. De vulnerability treft Flash Windows, Mac of Linux, het maakt niet uit: Flash bevat de kwetsbaarheid. Volgens Adobe zit de kwetsbaarheid waarschijnlijk ook in oudere versies.

 

Hier rennen de soldaten

De fitness app Strava publiceert de bewegingen van zijn gebruikers. Geanonimiseerd natuurlijk. Leuk om naar te kijken, zo’n heat map. Maar vooral een goed voorbeeld van hoe gevoelig privacy is en dat anonimiseren niet altijd genoeg is.

Geheime Amerikaanse militaire basissen lichten ineens op op kaarten van Afghanistan, Djibouti en Syrië, omdat de joggende Amerikaanse soldaten de enige personen in de wijde omtrek zijn die de fitness app gebruiken.