Tag: Cybercrime

About Cybercrime

Subscribe Feeds

Europol haalt bij actie met Nederlandse politie vijftig ddos-booters offline

Geplaatst op in Ondernemingsvrijheid, Regulering, 8 reacties

Verschillende internationale politiediensten, waaronder de Nederlandse, hebben tijdens een operatie tientallen ddos-booters offline gehaald. Dat meldde Tweakers vorige week. Dergelijke diensten leveren DDoS-aanvallen op verzoek en tegen betaling, met het dunne excuus dat bedrijven wellicht hun netwerk willen testen maar dan geen behoefte hebben aan contracten, facturen of betalingen met ouderwets fiatgeld. Of zoiets. Want, zo vroegen diverse lezers, hoe maak je dan het onderscheid tussen een legale stresstest dienst en zo’n booter?

Voor mij begint het al bij de naam. De frase “to boot someone” is gamerslang voor iemand van internet schoppen, met name als die van jou aan het winnen is. Een ddos op zijn ip adres uitvoeren is daar een bekende truc voor die vrijwel altijd werkt, wat dus heeft geleid tot handige jongens met bootersites, geef mij geld en ik schop die ander voor je van internet. Wie zichzelf dus met die naam tooit, heeft de schijn nogal tegen – alsof je een directiegroepschat van een financiële organisatie “Wirefraud” noemt.

Maar goed iets formeler: het hangt van het beoogde doel van de dienst af of het illegaal is om deze te maken. De wet stelt namelijk strafbaar het maken, verkopen, verspreiden et cetera van een middel om een ddos aanval te plegen (artikel 139d lid 2 Strafrecht). Het moet dan gaan wel om een “technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf”.

Er zijn tools te over waarmee je een ddos-aanval zou kunnen uitvoeren, in de Unixwereld is ping -f de bekendste. Of zelfs maar vaak genoeg op F5 drukken in je browser. Maar de kern bij al die tools is dat ze gebruikt kunnen worden, terwijl de wet ontworpen of speciaal geschikt vereist. Dat vereist dus iets meer, en meestal komt dat neer op intentie van de maker en/of presentatie of aanbod van de dienst. Een al wat oudere maar bekende dienst is webstresser punt org, waar Brian Krebs een artikel over schreef. In dat artikel zie je bijvoorbeeld dat men spreekt van “attacks” die je kunt kopen, dat wijst voor mij niet op de intentie van een legitieme dienst leveren.

Er zullen vast legitieme klanten tussen zitten die oprecht dachten deze dienst nodig te hebben, en ook keurig kregen wat ze vroegen, namelijk een stresstest van afgesproken omvang en tijd op hun eigen netwerk. Maar dat je zulke klanten hebt, is geen argument dat je dienst als zodanig dan legaal is. Pas als grofweg al je klanten op die manier legitiem zijn, kun je die discussie gaan voeren. Dat er dan een keer een crimineel tussendoor glipte die z’n mattie wilde booten, dat is dan een bedrijfsongeval en daar neem je dan vervolgens maatregelen tegen. Ik zie hier werkelijk niets dat daarop wijst.

Arnoud

 

 

OM: vorig jaar bijna 15.000 gevallen van cybercrime geregistreerd

Geplaatst op in Informatiemaatschappij, Security, 7 reacties

Vorig jaar heeft de politie bijna 15.000 gevallen van cybercrime geregistreerd, een stijging van 33 procent ten opzichte van 2020. Dat meldde Security.nl vorige week. Dit aantal staat in schril contrast met het aantal veroordelingen: drie-en-dertig. Wel meer dan 25 in 2020, maar toch. De jaarcijfers van het OM over 2021 zijn wel heel inzichtelijk.

“Cybercrime is moeilijk op te sporen en vraagt om veel kennis en specialisten die zich voortdurend blijven ontwikkelen om hackers bij te blijven.” Dat is zeker waar, en verklaart voor een groot deel het gebrek aan veroordelingen. Dat, en het feit dat veel daders zich in het buitenland bevinden of dat opsporing eindigt bij een IP-adres in een ver buitenland.

Veel vormen van online criminaliteit betreffen eigenlijk gewoon fraude en oplichting, en dan toevallig via internet. Dit is vaak een discussie bij de term cybercrime: wanneer is iets nou écht cyber, echt internet? Oplichting via Marktplaats vind ik daar niet bij horen. Ransomware wel, ook volgens het OM:

Maar ook vormen van echte cybercrime, zoals hacken, DDoS- of ransomwareaanvallen namen volgens de politieregistratie in 2021 verder toe. Nadat het aantal bij de politie bekende gevallen van cybercrime in 2020 met maar liefst 132 procent was toegenomen, steeg het aantal in 2021 verder met 33 procent tot 14.900 gevallen.
Het OM stipt daarbij trouwens nog een verklaring aan voor het lage aantal verdachten: op internet kan een verdachte veel meer misdrijven tegelijk begaan, dus daar komen dan ook veel meer meldingen van.

Arnoud

Het verschil tussen een cybercrimetool hebben en cybercrime plegen

Geplaatst op in Regulering, 1 reacties

Een lezer vroeg me:

Als zelfstandig security onderzoeker en pentester heb ik natuurlijk allerlei tools om sites en diensten te checken. In theorie zou je dat strafbare middelen kunnen noemen, want ik kan er ook zonder opdracht mee gaan werken en dan ergens binnendringen, ik pleeg dan computervredebreuk. Hoe ziet de wet het verschil?
Het bezitten van security-tools is legaal. Het bezit van hacktools niet. Het verschil tussen die twee is niet met een technische term te geven, want het gaat erom of die tools bestemd zijn voor misdrijven én of het jouw bedoeling was om ze zo in te zetten. Dat kun je aan de tool niet zien. Aanbieders van tools kijken wel uit om er “hiermee hack je snel je moeder” erbij te zetten. Dan krijg je eerder “controleer uw organisatie” of, zoals bij ddos-tools, “check of je site ddos-bestendig is”.

Een arrest uit vorig jaar augustus laat mooi zien hoe de rechtspraak de grens trekt tussen die twee. In deze zaak had een jongen een tool gebruikt waarmee je kunt testen of een bestand door virusscanners zou worden herkend als malware. Deze internetdienst, Razorscanner genaamd, controleert dan je upload met alle virusscanners ter wereld – zodat jij weet of je malware daar voorbij zou komen. Zeer geruststellend voor de klant wordt tevens gemeld dat “De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven.” (Ik zou het hilarisch vinden als achteraf blijkt dat ze dat wel deden.)

Aanverwant is de dienst Razorcryptor, die malware kan verstoppen door het bijvoorbeeld te koppelen aan andere software. Deze dienst werd samen met Razorscanner aangeboden, op basis van pay-as-you-go met vooraf gekochte credits. De verdachte had credits gekocht, maar stelde alleen met Razorscanner te hebben gewerkt.

Het Hof begint met vaststellen wat er nu precies strafbaar is, en daar kwamen we natuurlijk voor. Artikel 139ab Strafrecht lid 2 bepaalt:

Met dezelfde straf [als computervredebreuk, lid 1] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of (…)
De discussie die we meestal hebben, is of een bepaalde tool ontworpen is voor het plegen van computervredebreuk of de andere genoemde cybercrimedelicten. Een security scanner heeft ook legitieme doelen, denk aan een bedrijfsnetwerk dat je controleert op brakke byod-apparaten of een onderzoek voor je ISO certificering.

Het Hof heeft er geen moeite deze scandienst te zien als hulpmiddel voor het plegen van computervredebreuk. Je kunt nu je malware (waarmee binnendringen vaak gepleegd wordt) beter afstemmen op het omzeilen van de antivirussoftware van organisaties. Dat is dus effectieve hulp, en duidelijk enkel en alleen bestemd voor computervredebreuk. Verzin maar eens een legitieme reden waarom je zou willen dat iets een virusscanner omzeilt.

Maar het artikel kent nóg een bepaling, namelijk dat je dat hulpmiddel voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Oftewel, dat je als verdachte ook echt dat misdrijf ging plegen. Enkel dat je het hulpmiddel hebt, is dus niet genoeg. Misschien had je het per abuis, misschien was je het als journalist of researcher aan het uitpluizen, of misschien was je gewoon nieuwsgierig.

Nee, dat laatste vind ik ook geen héle sterke. Maar tot mijn verbazing zag het Hof hier dat -even kort gezegd- wél aanwezig.

De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. …
Een concrete aanwijzing was nog dat hij dezelfde malware meerdere malen uploadde, maar nooit malware had gewijzigd nadat de scanner had gezegd dat deze wel gedetecteerd zou worden. Daarom
kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma’s detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners.
Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht, aldus het Hof. Dit is niet alleen maar een “nee ik was gehackt” of “ik wilde alleen maar controleren of internet tegen een ddos kon”, hier is een onderbouwing gegeven die past bij de persoon en de feiten die zijn gevonden. (Wie nu denkt, ik verzin op dat moment ook wel een leuk verhaal dat past bij de feiten – de politie heeft meer feiten dan jij denkt, deelt niet alles met je en hangt je, terecht, op aan je leugens.) De verdachte gaat dus vrijuit.

Arnoud

Aon neemt cybercrime voortaan standaard in inboedelverzekering op

Geplaatst op in Innovatie, 26 reacties

Verzekeraar Aon neemt vanaf 1 september cybercrime standaard op in de inboedelverzekering. Dat las ik bij Tweakers onlangs. In de polis staat te lezen dat voornamelijk onkosten worden betaald voor situaties zoals phishing, ransomware of identiteitsfraude. De daadwerkelijke schade wordt zelden vergoed, wat niet zo gek is want juridisch gezien heb je als consument geen schade bij dataverlies (data is niets) of benodigde herinstallatie (je tijd kost geen geld).

De polisvoorwaarden zijn nog best leesbaar en to the point, wat natuurlijk mede komt omdat het wettelijk verplicht is om in eenvoudige taal te communiceren. En oh wat zou het fijn zijn als privacyverklaringen eens net zo goed leesbaar zouden zijn.

Even lezen geeft dan toch wat aardige dingen. Het eerste dat mij opviel, is dat je de app van de bank moet gebruiken. Als je wordt beroofd via internetbankieren via de site, dan valt dat buiten de dekking. Dat laat wel zien hoe men de risico’s inschat bij bankieren via browsers.

Oh, jailbreak je je systeem dan ben je niet gedekt. Die term is breder gedefinieerd dan alleen iOS overigens, hoewel het mij raar aandoet om deze toch Apple-specifieke term te gebruiken. Het gaat om iedere vorm van het uitschakelen of omzeilen van de beveiliging van de fabrikant tegen het zomaar installeren van apps. Daar zit natuurlijk achter dat je zo malafide apps binnen kunt krijgen, zodat je het risico op schadebrengende gebeurtenissen vergroot.

Wat me in negatieve zin opvalt, is dat de voorwaarden niet eisen dat je je OS en veelgebruikte software bijwerkt. Zou dat zijn omdat de meeste moderne OS’en dat toch al doen automatisch (Windows 10 zelfs zonder optie dat te weigeren)? Anders voelt het als een merkwaardige omissie.

Ik lees in de comments nog diverse mensen die zelf prima weten hoe ze de beveiliging van hun computer regelen, maar daarbij desondanks de regels van de verzekeraar zouden overtreden. Bijvoorbeeld door hun telefoon te rooten maar wél keurig de malware buiten de deur houden. Moeten die dan wel of niet onder de dekking vallen? Altijd een lastige.

Ik ben uiteindelijk toch geneigd te zeggen van wel, máár met een hoge bewijslast dat je systeem echt veilig was ondanks al je eigen knutselwerk. Want de verzekeraar kan het verschil niet zien tussen een hacker (een echte) die beter dan Linus weet hoe zijn kernel dicht te timmeren, en een gedachteloze amateur die zomaar overtypt wat mensen op vage forums vertellen dat je moet doen om gratis Bejeweld te spelen. En gezien de eerste categorie veel zeldzamer is dan de tweede, vind ik dat je als echte hacker moet bewijzen dat je dat bent om alsnog aanspraak op de verzekering te maken.

Arnoud

Ben je als werknemer aansprakelijk bij CEO fraude?

Geplaatst op in Ondernemingsvrijheid, 5 reacties

Een lezer vroeg me:

Een relatief nieuw concept in de cybercrime is CEO fraud. Hierbij doen criminelen of zij een hooggeplaatste manager of bestuurder (bijvoorbeeld de CEO, CFO, Group Executive of directeur van je bedrijf) zijn. Ze geven een ondergeschikte dan opdracht om geld over te maken. Stel dat je daarin meegaat, ben je dan persoonlijk aansprakelijk?

CEO fraud is voor mij een speciale vorm van social engineering. De truc is feitelijk niet meer dan een vervalste mail, een neptelefoontje of iets dergelijks die afkomstig lijkt van de CEO. Je krijgt dan een werkinstructie: maak even een zak geld over naar dit en dit rekeningnummer.

De truc is natuurlijk dat veel mensen blij verrast zijn dat de baas hén uitzoekt om zoiets belangrijks te doen. Want natuurlijk gaat het dan om een geheim project, ben jij uitgekozen om dit te gaan leiden als je dit even snel doet, en ga zo maar door. Een effectieve vorm van social engineering. Of, zo je wilt, acquisitiefraude.

Normaal heeft een bedrijf procedures voor betalingen, zoals een goedkeuring door de afdeling Finance of een handtekening van een aantal verantwoordelijken. Maar de truc is hier natuurlijk dat dit vanwege de spoed en het belang even niet kan, en dat je dan denkt, dan doe ik het even, ik zal eens laten zien hoe daadkrachtig ik ben.

Maar goed, dan komt uit dat dit helemaal niet de directeur was. Ben je dan aansprakelijk?

Waarschijnlijk niet. Een werknemer is alleen aansprakelijk naar zijn werkgever toe als sprake is van opzet of bewuste roekeloosheid, en dat is een héle hoge lat. Gewone fouten vallen er zeer zeker niet onder. De schade van zulke fouten moet de werkgever gewoon zelf dragen.

Omdat de hele truc hier gericht is op een overtuigende indruk wekken dat hier de CEO spreekt, denk ik niet dat je snel kunt spreken van bewuste roekeloosheid. Dan moet het wel een héle neppe mail zijn geweest, waarvan iedereen meteen zou zien dat die niet echt van de CEO is.

Dat er een verbod is ingesteld op betalen buiten de procedures om, maakt daarbij niet uit. Van verboden mag immers worden afgeweken, zeker als de CEO dat zegt. En als we dus concluderen dat de werknemer redelijkerwijs mocht denken dat dit de CEO was, dan heeft hij terecht afgeweken van het verbod.

Arnoud

Vuistregels voor vorderen van persoonsgegevens (gastpost)

Geplaatst op in Privacy, Security, 1 reacties

mr. StaringVandaag een gastbijdrage van strafrechtadvocaat mr. A.H. (Bert) Staring uit Arnhem

Onlangs is het rapport High-tech crime: soorten criminaliteit en hun daders van het Ministerie van Justitie verschenen. High-tech crime is een overkoepelend containerbegrip dat verwijst naar een veelheid aan criminele activiteiten waarbij gebruik wordt gemaakt van ICT. Voorbeelden hiervan zijn kinderporno (cybercrime) en hackers (computercriminaliteit).

Een van de speerpunten van dit kabinet is de aanpak van cybercrime. Onder het mom hiervan kondigt de minister Hirsch Ballin aan dat hij de bevoegdheden van politie en justitie tot onder meer het vorderen van gegevens van bedrijven en instellingen opnieuw tegen het licht wil houden. Wat mogen politie en justitie op dit moment al?

De Wet bevoegdheid vorderen gegevens geeft politie en justitie vergaande bevoegdheden om persoonsgegevens op te vragen bij maatschappelijke instellingen en bedrijven. Toepassing van deze bevoegdheden mag alleen indien dat voor de opsporing noodzakelijk is en er sprake is van een verdenking van een zwaarder misdrijf. Het gaat dan niet alleen over high-tech crime maar ook om criminele activiteiten waarbij geen gebruik wordt gemaakt van ICT zoals bijvoorbeeld moord.

Bedrijven en instellingen die een openbaar telecommunicatienetwerk of -dienst (telefonie en internet) aanbieden kunnen met de op deze wet gebaseerde vorderingsbevoegdheid worden geconfronteerd. Het gaat dan over de aanbieders van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst alsmede degenen die in de uitoefening van een beroep of bedrijf gegevens verwerken of opslaan ten behoeve van een aanbieder van een communicatiedienst of diens gebruikers. Met een aanbieder van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst worden private netwerken bedoeld, zoals een vorm van intranet. Met degene die in de uitoefening van een beroep of bedrijf gegevens verwerkt of opslaat ten behoeve van een communicatiedienst of diens gebruikers dient men te denken aan een aanbieder van webhostingdiensten of een beheerder van websites.

Niet alleen de gegevens van de verdachte maar ook de gegevens van die personen waarmee verdachte contact heeft gehad of in relatie kan worden gebracht, kunnen middels deze wet worden opgevraagd door politie of justitie.

De wet maakt onderscheid tussen drie categorieën gegevens:

  • identificeerbare gegevens (naam, adres);
  • andere gegevens (verkeersgegevens, logs, administratie);
  • gevoelige gegevens.

Bij ‘identificeerbare gegevens’ gaat het niet alleen om iemands naam, adres, woonplaats, postadres, geboortedatum of geslacht, maar ook om zogenoemde administratieve kenmerken, zoals een klantnummer, een nummer van een polis, een bankrekeningnummer, of een lidmaatschapsnummer. Deze gegevens kunnen door iedere agent of opsporingsambtenaar worden opgevraagd.

De categorie ‘andere gegevens’ is zeer omvangrijk. Het gaat vooral om gegevens uit de administratie van bedrijven. Om deze gegevens in te zien, is geen bevel van een rechter nodig, maar kan met een bevel van de officier van justitie worden volstaan. Alleen voor ‘gevoelige gegevens ‘, zoals godsdienst, ras, politieke gezindheid, gezondheid of seksuele leven, blijft een gerechtelijk bevel noodzakelijk.

Bedrijven en instellingen weten veelal niet hoe met een dergelijke vordering om te gaan en werken gemakshalve maar mee. Dit terwijl:

  • Het verstrekken van gegevens veelal inhoud dat de gegevens, meestal persoonsgegevens, voor een ander doel worden gebruikt dan waartoe ze door internet provider of website exploitant, als houder van de gegevens, zijn verwerkt.
  • De toepassing van deze opsporingsbevoegdheid door politie en justitie gegarandeerd tot een inbreuk van de persoonlijke levenssfeer van de klant leidt.
  • Indien het gaat om gegevens van derden die geen persoonsgegevens zijn, er nog altijd belangen van derden aan de orde zijn die verstrekking problematisch maken, bijvoorbeeld een contractuele geheimhoudingsplicht.

Naar mijn mening dienen bedrijven en instellingen zich weerbaar op te stellen tegen de toenemende houdgreep van de overheid. Zij dienen in ieder geval op de navolgende punten te letten:

  1. U hoeft niet vrijwillig gegevens aan politie of justitie te verstrekken.
  2. Toepassing van vorderingsbevoegdheid mag alleen indien dat voor de opsporing noodzakelijk is en het gaat om een verdenking van een bepaald kaliber misdrijf.
  3. Voor de vordering van gevoelige gegevens is toestemming van de rechter nodig.
  4. In beginsel dient er bij de toepassing van een van de hier bovengenoemde bevoegdheden een schriftelijk vordering van de bevoegde ambtenaar vooraf te gaan. Waarin de gegevens staan vermeld die u minimaal nodig heeft om de vordering uit te kunnen voeren. U dient dat ook te allen tijde naar de schriftelijke vordering te vragen.
  5. Bij een aantal bevoegdheden kan bij dringende noodzaak een vordering mondeling worden gegeven. Echter in dat geval dient achteraf en wel binnen drie dagen nadat de vordering is gedaan deze alsnog op schrift te worden gesteld.
  6. In beginsel dient de bevoegde ambtenaar van elke vordering een proces-verbaal op te maken. Van belang is dat hierin wordt vermeld in welk onderzoek naar welk strafbaar feit de bevoegdheid is toegepast. U dient dat ook altijd naar het proces-verbaal te vragen.
  7. De kosten die aan de nakoming van een vordering kunnen worden toegerekend in de vorm van extra personeelskosten en extra administratiekosten komen voor vergoeding in aanmerking.
  8. Belanghebbende kunnen zich tegen de vordering tot verstrekken van gegevens zelf alsook tegen het gebruik van gegevens die gevorderd zijn beklagen. Zowel de houder van de gegevens tot wie de vordering is gericht als degenen op wie de gegevens betrekking hebben, kunnen als belanghebbende worden aangemerkt.

Gelet op de hier bovenstaande aandachtspunten is het verstandig contact op te nemen met een strafrechtadvocaat. Deze weet namelijk alles over de bijzondere opsporingsmethode die politie en justitie in het kader van een opsporingsonderzoek kan inzetten tegen u en uw klanten. Hij kan u derhalve adviseren wat hierbij uw rechten en plichten zijn.

mr. A.H. (Bert) Staring is advocaat in Arnhem, gespecialiseerd in strafrecht.

Het was geheim – mag dat?

Geplaatst op in Security, 23 reacties

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Flinke toename cybercrime in Nederland (via Emerce)

Geplaatst op in Security, nog geen reacties

De online criminaliteit neemt flink toe in Nederland, meldt o.a. Emerce. Dit blijkt uit het Trendrapport Cybercrime 2007, uitgegeven door ICT-beveiligingsinstantie Govcert.NL (van o.a. de Waarschuwingsdienst.nl)

Het grootste probleem is de toename van botnets. Botnets vormen de infrastructuur voor cybercrime, zo meldt het rapport. Daarmee kunnen ongestraft virussen, spam mail en dergelijke worden verzonden. Ook worden ze gebruikt als springplank om in andere systemen in te breken. Nieuwsgierig hoe dat werkt? Neem een kijkje in de cockpit.

Malware, kwaadaardige software en phishing, het vissen naar persoonlijke informatie, worden ook een steeds groter probleem.

De makers van dergelijke software en botnets worden ook steeds slimmer. De vraag is dus hoe cybercrime aan te pakken.

Arnoud

Europese Commissie komt met nieuwe aanpak cybercrime

Geplaatst op in Security, nog geen reacties

Europese Commissie maakt nieuwe aanpak cybercrime bekend, meldt Arnout Veenman op ISPam.nl. Hij citeert Vice-President Frattini, EU Commissaris verantwoordelijk voor Justitie, Vrijheid en Veiligheid:

De Europese Commissie neemt vandaag een belangrijke stap naar het formuleren van een generiek Europees beleid in het gevecht tegen cybercrime. Dit beleid zal er uiteindelijk zorgen voor betere operationele samenwerking tussen politiediensten, verbeterde politieke coördinatie en betere coördinatie tussen lidstaten op het gebied van wetgeving alsmede politieke als juridische samenwerking met derde landen; het creëren van bewustzijn, training en onderzoek zal essentieel zijn in het bereiken van deze doelen. Dit beleid zal enkel effectief zijn wanneer er een krachtige dialoog met de industrie is gaande is.

Op opinieweblog wordt daaraan nog toegevoegd:

Het beleid is erop gericht om internationale samenwerking en strafrechtelijke handhaving te bevorderen en om publiek-private samenwerking te versterken. De Commissie overweegt ook om wetgeving tegen identiteitsdiefstal te ontwerpen.

Cybercrime of computercriminaliteit wordt een steeds groter probleem. Om dit te bestrijden, heeft de Commissie de volgende concrete plannen:

• Public-private cooperation at operational level: A conference on public-private cooperation is being organised for November this year. The conference, which will gather around 100 European specialists from both sectors, will concentrate on a few pilote areas. The main idea is to launch a small number of concrete public-private projects, on issues such as the fight against illegal content (especially child sexual abuse material) and strategic information exchange on criminal activities. The outcome may consist of codes of conduct, the setting up of permanent cooperation networks or recommendations for legislation. The principle of the public-private projects will be cooperation at equal level and private stakeholders (in particular EU-level business federations) will be involved already at the planning stage.

• Law enforcement cooperation/coordination: The problem identified in this field is rather that existing EU and international channels are not used or that these channels are not used in an efficient way. The Commission services are currently preparing a questionnaire to Member States and will organise a meeting with MS cyber crime specialists in 2007 to better identify the needs. The main objectives are to clarify the use and achieve better awareness of existing and – if needed – prepare concrete actions to reinforce the cooperation and coordination. The Commission will cooperate closely with Europol in this area.

• Training: The Commission is already discussing how different EU-level and EU-financed training programmes in this field can be interlinked under a common European training umbrella. The Financial Programme “Prevention of and Fight against Crime” will provide for financial means for the setting up of such an umbrella, which could cover both law enforcement only training programmes and programmes involving private sector operators. The Commission is especially looking to involve Europol, Eurojust and CEPOL in the setting up of such a platform.

Arnoud