Een hacker kan heel Nederland platleggen

We sluiten deze week, die geheel onverwacht de week van de hacker, cracker en scriptkiddie is geworden, af met een geruststellend idee.

Eén hacker is in staat heel Nederland plat te leggen. Dat kan door in te breken in computernetwerken en bijvoorbeeld sluizen te openen, met overstromingen tot gevolg (bron).

Ook hier hebben we het gelukkig weer over een hacker die dit kan doen. Er wordt met geen woord gerept over een scriptkiddie…maar geloof me. De meest simpele aanvallen worden nu juist gepleegd door een scriptkiddie (omdat die immers niet weet wat hij doet). Geloof het of niet. Ook hackers en crackers hebben zo hun codes en ze hebben de balen van scriptkiddies die die code niet kennen of overtreden.

Overigens is dit niets nieuws want een aantal maanden geleden was er al van alles te doen om sluizen die met een simpel wachtwoord “beveiligd” waren, maar het sluit deze week natuurlijk wel erg mooi af en onderstreept de noodzaak van informatiebeveiliging.

Het is nu alleen nog wachten op een structurele aanpak. Veel organisaties hebben de afgelopen jaren flink bezuinigd op informatiebeveiliging. Daar lijken ze nu van terug te komen en informatiebeveiliging is ineens topprioteit waar zelfs het hoogste management zich tegenaan wil bemoeien. Maar als we dan toch de aandacht van het hoogste management hebben: mogen we dan ook alstublieft opteren voor die proactieve en structurele aanpak die nodig is en niet de reactieve aanpak die we nu volgen? Dat zorgt er niet alleen voor dat we beter beveiligd raken maar voorkomt ook dat we bakken met geld in de put scheppen.

Er zijn budgetten voor beveiliging en beveiligingsmaatregelen worden aan alle kanten aangeschaft en ingezet. Alles om maar te voorkomen dat we slachtoffer worden (jaja, het draait om imagoschade). Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Leest u de zin nog een keer en laat hem goed doordringen: Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Het lijkt tegen dovemansoren gezegd want na de virusaanval op de Gemeenten hebben we de virusscanners weer eens een update gegeven en gaan we weer rustig achterover hangen. Het is wachten op de volgende aanval en die zal sneller komen dan we nu verwachten…het is alleen maar te hopen dat het niet echt een keer uit de klauw loopt want als een hacker de sluizen open kan zetten dan krijgen we tot aan Amersfoort allemaal natte voeten.

Rest mij om u een fijn weekend te wensen en misschien moet je vast je lieslaarzen “uit het vet” halen.

Hacker gijzelt elektronische patientendossiers

Onwaarschijnlijk hè? Het voorbeeld dat we gisteren aanhaalden waarbij een scriptkiddie het niet door had dat hij ziektebeelden en patiëntgegevens door elkaar gooide? Gelukkig is zoiets helemaal niet mogelijk, of toch?

Een aanvaller is er onlangs in geslaagd om op de server van een Amerikaanse kliniek in te breken en de aanwezige elektronische patiëntendossiers voor losgeld te versleutelen (bron).

Informatiegijzeling. We hebben het er in het verleden ook al eens over gehad maar het lijkt toch nog niet echt bekend te zijn bij de meeste mensen. Hoe het in zijn werk gaat is vrij simpel (althans op papier): je breekt in op een netwerk en versleuteld alle data die je daar vindt. Vervolgens informeer je de organisatie en eis je losgeld voor het vrijgeven van de sleutels.

Als je het zo leest kan een kiddie de was doen. Nu was het, conform de definities, in dit voorbeeld gaan scriptkiddie maar een “echte” hacker (wow) dus gelukkig lopen we een stuk minder risico (want daar weren er niet zoveel van, weet je nog?). Maar dat valt te bezien. Want wie zegt me inderdaad dat dit een hacker was en geen scriptkiddie? Daarmee komen we terug op het feit dat hacker, cracker, scriptkiddie gewoon een definitiekwestie is waarbij we mensen het liefst in een hokje willen duwen (al is het alleen maar om het voor ons overzichtelijk te houden).

Nee, zoals eerder gesteld gaat het helemaal niet om de naam die we er aan hangen maar om de daad die ze verrichten. Een overvaller die binnenkomt met een op een wapen gelijkend waterpistool noemen we toch ook niet ineens een kwajongen?

Maar goed. Je zult met spoed naar deze kliniek moeten. Nog even en je blaast je laatste adem uit als je niet snel geholpen wordt. Even het dossier erbij…wat een vreemde 1-en en 0-en staan er in dat dossier? Nu maar snel het losgeld betalen: operatie geslaagd…patiënt overleden. Welkom in de realiteit.

Lezingen en lekken beste CV security professional

We weten inmiddels dat we hackers, crackers en scriptkiddies niet met elkaar moeten verwarren (tenminste: dat is de mening van anderen, wat mij betreft gaat het nog steeds om de daad die gepleegd wordt, maar goed, dat terzijde).

De wereld van goede technische hackers en crackers is klein (scriptkiddies genoeg, dus die vallen buiten scope). Maar als je onderstaand bericht mag geloven dan zijn de beste hackers en crackers degene die inderdaad net wel of net niet over de schreef zijn gegaan.

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller (bron).

Een oud gezegde is inderdaad: met boeven vang je boeven. Maar als we dat al te letterlijk gaan nemen dan moet iedere politieagent minimaal een strafblad hebben. Hoe kunnen ze anders boeven vangen? Nee, het gaat me toch wat te ver om mensen op te roepen om op zoek te gaan naar beveiligingslekken omdat dat het beste voor je CV is.

En nu komen ze weer in scope: de scriptkiddies. Met dit soort berichten roep je scriptkiddies op om maar vooral veel te testen, veel tooltjes te gebruiken en veel technische te pielen omdat dat de manier is om carrière te maken in de informatiebeveiligingswereld. Als we dat maar hard genoeg roepen dan zijn er genoeg scriptkiddies die van alles gaan proberen zonder te weten wat ze doen. Ze maken zo meer kapot dan ze lief is (hoewel ze zelf niet eens in de gaten zullen hebben wat ze doen).

Valt allemaal wel mee, toch? Nou, dat is maar te bezien. Veel scriptkiddies weten echt niet wat ze doen en als ze dat wel zouden weten dan zouden ze het wel laten (of in ieder geval een stuk slechter slapen ’s nachts). Stel dat een scriptkiddie weet in te breken in een systeem van een ziekenhuis. Voor hem misschien een leuke toevoeging aan zijn CV. Maar wat als hij zich er niet van bewust is dat hij ziektebeelden en patiëntgegevens per ongeluk door elkaar gooit?

Nee, om een goed CV als security professional te krijgen moet je een goede vooropleiding hebben en aantonen dat je de techniek door en door kent. Maar je hoeft mij niet uit te leggen welke inbraken je al allemaal gepleegd hebt. En natuurlijk wil je ook graag praktijkervaring opdoen, maar laten we daar dan goede testsystemen voor in het leven roepen en het security wereldje beter faciliteren.

Want waar gaat het anders heen met de wereld: moet een goede verslavingsdeskundige dan zelf verslaafd zijn geweest? Moet een psychiater zelf zo gek als een deur zijn? Moet een goede Gynaecoloog dan eerst zelf zwanger zijn geweest (helaas voor alle mannelijke Gynaecologen: jullie kunnen nooit goed zijn in je vak)? Moet een goede brandweerman dan eerst pyromaan zijn geweest? Nou ja, je begrijpt de strekking en kunt zelf vast ook nog wel wat voorbeelden verzinnen.

Webcam-hackers zetten slachtoffers op YouTube

En wederom kunnen we de discussie van gisteren voortzetten met het onderwerp van vandaag.

Het is nog altijd een sport onder ‘scriptkiddies’ om slachtoffers van besmette computers via hun eigen webcam te begluren en opgenomen beelden op YouTube te plaatsen. Al in 2008 werden de reacties van slachtoffers op schokkende filmpjes opgenomen en later als leedvermaak online gezet. Symantec waarschuwt dat dit nog altijd gaande is (bron).

Nu noemen we het geen hackers of crackers meer maar noemen we het scriptkiddies. En eerlijk is eerlijk: een goed hacker/cracker wil zich niet vergelijken met een scriptkiddie omdat die laatste gewoon een standaard tooltje draait om zijn kunstjes te doen. Ook dat is een definitiekwestie, wat mij betreft.

En het mag inderdaad onschuldig lijken. Je besmet een computer en begluurt degene aan de andere kant. Kom je leuke beelden tegen, dan zet je die vrolijk op Youtube. Nu is het natuurlijk al niet netjes om iemand te begluren (jaja, ook daar kun je voor opgepakt worden) maar als je ook nog iemand besmet hebt dan ben je een stuk onschuldiger.

“Moeten die mensen hun beveiliging maar aanzetten”; dat is de reactie die je van een scriptkiddie mag verwachten. Waarschijnlijk zijn ze zich niet eens bewust van de wetten die ze overtreden. Waren ze dat wel en was de pakkans een stuk groter dan zouden ze het wel uit hun hoofd laten.

Toch maar weer terug naar de analoge wereld: een dergelijke scriptkiddie gaat ook niet met een filmcamera door het badkamerraam van de buren filmen omdat hij begrijpt dat dat nou niet echt sjiek is. Maar veilig en anoniem achter zijn laptop denkt hij daar niet eens aan. Nee, hij ziet ergens een grappig artikeltje met een linkje en een manier waarop zoiets mogelijk is en voor je het weet bekijkt hij je door je webcam.

Als het goed is doe je de gordijnen van je badkamer ook dicht als je inkijkt hebt, misschien moet je dat dan ook maar overwegen met je webcam. Gewoon een plakbandje eroverheen en je kunt een stuk rustiger allerlei vreemde capriolen uithalen voor je webcam: niemand die je immers ziet (tenzij je de gordijnen niet dicht hebt gedaan en er iemand door je raam staat te gluren).

Hacker betekent ook crimineel

Er is nog altijd discussie over de betekenis van het woord ‘hacker’, maar de eerste bekende vermelding beschrijft een criminele daad. Hacker heeft zowel een negatieve als positieve lading, aldus Robert Graham van Errata Security. “Mensen blijven beweren dat hacker geen crimineel betekent en er daarom cracker moet worden gebruikt. Die claim valt niet te rechtvaardigen.” Het woord wordt zowel gebruikt om criminelen als “enthousiaste nerds” te omschrijven (bron).

Het is natuurlijk een definitiekwestie en of je nu hacker of cracker gebruikt maakt mij persoonlijk niet zoveel uit. Het gaat wat mij betreft om de daad die uitgevoerd wordt en dan wordt het in de digitale wereld ineens een stuk mistiger.

Sommige zaken vinden we digitaal heel normaal, terwijl we die in de analoge wereld niet zo snel zouden doen. Heb jij wel eens iemand aan alle voordeuren zien rammelen om te kijken of ze wel of niet op slot zijn?

Digitaal doen we dat dagelijks en als we merken dat er inderdaad een gaatje zit dan wordt het wel heel verleidelijk om daardoor naar binnen te glippen. Hoe goed je bedoeling misschien ook mag zijn, het blijft natuurlijk gewoon een misdadige daad die je normaal niet zo plegen.

Stel dat je wel aan de voordeur rammelde en dat daarbij de deur spontaan open springt. Zou jij dan midden in de nacht naar binnen gaan om te kijken wat er binnen allemaal te halen valt? Waarschijnlijk niet want je weet nooit of de bewoners een flinke waakhond in huis hebben.

Het blijft nog steeds vreemd dat we anders aan kijken tegen de digitale en analoge wereld en het blijft vreemd dat we (in al onze anonimiteit) in de digitale wereld bereid zijn om veel verder te gaan dan we normaal gesproken zouden doen.

Rammel jij dus weer eens aan een digitale of analoge voordeur, bedenk dan goed aan welke kant van de streep je blijft. Een digitale inbraak is ook een inbraak en die wil jij vast niet op je geweten hebben.

Diefstal hondje en auto-onderdelen

De week van de diefstal zit er al weer bijna op, maar niet voordat we afsluiten met nog een opmerkelijke diefstal die nog niet zo lang geleden plaats vond.

Maandagnacht is een 40-jarige man uit Polen aangehouden omdat hij een hondje en auto-onderdelen gestolen zou hebben (bron).

Het zijn natuurlijk niet de auto-onderdelen die zo opmerkelijk zijn. Die zal hij ongetwijfeld in eigen land voor een leuk bedrag van de hand kunnen doen. Maar om nou een hondje te stelen gaat toch wel erg ver.

En denk nu niet dat de deze week behandelde berichten de enige waren. Als je zelf eens Googled op diefstal dan kom je genoeg opmerkelijk zaken tegen waar mensen hun handen niet vanaf kunnen houden. Zomaar een paar opmerkelijke zaken die ook recent in het nieuws kwamen:

Nou ja, je snapt de strekking van dit verhaal en alles wat los zit (en soms zelfs zaken die vastzitten) kunnen voor een dief aanleiding zijn om ze te stelen. Kortom: let goed op je spullen en zet ze vast waar je maar kan. Maar tussen al het nieuws over diefstallen, staan ook berichten die geen nieuwswaarde hebben:
  • Diefstal lokfiets

Want is een lokfiets niet juist bedoeld om gestolen te worden?‚Äé Dan moet je ook niet klagen als hij ook echt gestolen wordt.

‚Äé

‚Äé
‚Äé

‚Äé

Man aangehouden voor diefstal politiejas

De politie heeft maandagmiddag een 27-jarige man uit Haarsteeg aangehouden. Hij werd verdacht van het stelen van een politiejas uit een auto (bron).

Er komen deze week nog al opvallende zaken voorbij die gestolen worden. Na de wieldoppen, de scootmobiels en de Opel Kadett, is het vandaag de beurt aan de politiejas. Ook niet echt een item waar je onopvallend mee over straat kunt. Een beetje politieagent herkent zijn of haar collega’s en je valt al snel door de mand als je wel een politiejas hebt maar geen wapen of pet.

Je vraagt je dan toch af wat zo iemand met zo’n jas van plan is. En je moet er niet aan denken wat hij er mee zou kunnen doen. Nog niet zo lang geleden was er een overvallersbende die in politiekostuum overvallen pleegde. Ze stonden ineens voor je deur en goedgelovig als wij zijn laten we ze dan binnen. Waar ze je vervolgens vastbinden om je huis te doorzoeken.

Met dit in het achterhoofd is de boete die deze dief kreeg aan de lage kant: Na verhoor op het politiebureau heeft het Openbaar Ministerie de verdachte een transactievoorstel aangeboden van € 250,00.

Blijkbaar vindt de politie het niet erg genoeg als er een van hun eigendommen gestolen wordt. En dat is dan nog tot daaraan toe, maar zouden ze tijdens het verhoor ook zijn ingegaan op de plannen die de man had met de jas? Of was dat toch een te lastige opgaaf en moest het papierwerk voor het proces verbaal ingevuld worden?

De jas is in ieder geval weer terug en als die niet meer als bewijs hoeft te dienen dan kan de agent in kwestie hem weer terug krijgen. Maar meneer de agent (en het liefst een beetje op belerende toon): ook u moet in het vervolg gewoon uw auto op slot doen…sterker nog: als ik mijn auto open laat staan zijn het mijn eigendommen maar in uw geval zijn het ook nog eens de eigendommen van de staat (en dus ook een beetje van mij).

Hier de tip van vandaag (die nota bene door de politie zelf bedacht is):

Tilburger gepakt poging diefstal Opel Kadett

Waren het gisteren nog scootmobiels die geliefd waren dan gaan we door met de poging tot diefstal van een Opel Kadett.

Nadat er aan de Burgemeester Rensstraat in Goirle een Opel Kadett was opengebroken, zijn twee mannen in de nacht van maandag op dinsdag om 4.30 uur opgepakt. Het duo sloeg op de vlucht maar kon door agenten achterhaald (bron).

Nu heb ik niet zoveel verstand van welke auto’s het makkelijkst te stelen zijn, maar graaf ik in mijn geheugen dan kan ik me herinneren dat een Opel Kadett vroeger al niet al te ingewikkeld was. Met de laatste technieken zou het me niet verbazen als je die met een paar minuten open en rijdend hebt.

Deze twee echter niet en het duo kon door de politie worden achterhaald. Het had trouwens niet zoveel uitgemaakt als ze met de Kadett op de vlucht waren geslagen want daar is de snelheid inmiddels toch ook wel een beetje uit.

Zoveel mooie auto’s op de wereld. Hoe haal je het dan in je hoofd om een Opel Kadett te stelen? Was er dan echt geen ander voertuig in de buurt dat net iets minder opvallend is? Zoveel Opels Kadett rijden er nu ook weer niet rond, dus je rijdt al snel in het vizier van de politie als je in een gestolen exemplaar voorbij komt.

Maar je vraagt je toch af of de eigenaar van de Opel Kadett het erg vindt of niet? Misschien had hij er nog een mooie vergoeding van de verzekeringsmaatschappij aan over kunnen houden. Ach en voor alle liefhebbers sluiten we dit blog af met een mooie foto van de aloude Opel Kadett.

Vier verdachten aangehouden voor diefstal scootmobiels

Na de wieldopdiefstal van gisteren gaan we het deze week maar eens over diefstal hebben en we laten een aantal zaken de revue passeren die waarschijnlijk niet bovenaan het lijstje van de meeste dieven staan.

Daarom vandaag: Vier verdachten aangehouden voor diefstal scootmobiels
Vier jongens, tussen de 17 en 18 jaar uit Zaandam en Koog aan de Zaan zijn aangehouden omdat de politie melding kreeg dat de jongens bezig waren een scootmobiel te stelen (bron).

Ja, je moet er maar op komen en je moet het maar kunnen. Een scootmobiel is toch een beetje het verlengde van een bejaarde die nog graag wat frisse lucht wil krijgen op zijn tijd (althand, dat was in mijn tijd zo, nu wil iedere jongere er wel een hebben). En ach, een kwajongens streek als het er om een gaat. Maar deze jongens waren waarschijnlijk van plan binnenkort een scootmobiel race te houden, want ze hadden er al meer in hun bezit.

Een van de jongens liet een rode scootmobiel achter op het fietspad en vluchtte te voet. Een andere scootmobiel, een grijze, kon worden aangehouden. Hieruit vluchtte een aantal jongens. Ook zij werden aangehouden. De eigenaar van dit laatste voertuig heeft zich nog niet gemeld bij de politie.

En het is natuurlijk niet zo verwonderlijk dat de eigenaar van het laatste voertuig zich nog niet heeft gemeld bij de politie. Hoe moet hij of zij op het politiebureau komen nu er geen vervoer meer voor de deur staat?

Blijkbaar is er een handel in scootmobiels en wilde je daar vroeger als jongere niet in gezien worden, dan is het vandaag de dag rage om er in een te rijden. Je bent gewaarschuwd: zet je scootmobiel goed op slot, anders moet je lopen.

Misdaad loont (niet)

Er zijn natuurlijk vele manieren waarop misdaad loont…tot je tegen de lamp loopt. Veel criminelen gebruiken dezelfde werkwijze en vallen daardoor vanzelf door de mand. Deze crimineel kun je in ieder geval zijn creativiteit niet ontzeggen.

In een woning in de Zwolse wijk Stadshagen is een 49-jarige bewoner aangehouden wegens diefstal en heling van wieldoppen. De politie trof in zijn huis naar schatting 800 exemplaren aan (bron).

Nu heb ik al vele illegale handeltjes gezien en ook vele misdaden voorbij laten komen waar men flink geld aan heeft verdient. Deze was me echter ontschoten en kan ik nu ook aan het rijtje toevoegen.

Creatief: ja, echt snugger: nee: Onlangs zag een van de gedupeerden zijn eigen wieldoppen terug op Marktplaats, meldt de Stentor. Hij herkende die aan speciale kenmerken, waarop hij de politie informeerde.

Het is natuurlijk kinderlijk eenvoudig om wieldoppen te stelen (en er zijn inderdaad ergere criminele activiteiten die je kunt ontplooien). Maar wat moet je met 800 wieldoppen? Misdaad loont pas als je er ook daadwerkelijk iets mee kunt verdienen. Maar om daar nou Marktplaats voor te gebruiken is toch wel een beetje erg eenvoudig.

Ben je zelf laatst nog een wieldop kwijt geraakt dan zou je het beste even met de politie contact op kunnen nemen, wie weet zit die van jou er ook tussen.