Behalve door het massaal versturen van gegevens, kan de werking van ICT ook worden verstoord door daadwerkelijke manipulatie van digitale data-gegevens en systemen. Bij manipulatie van data worden geautomatiseerd opgeslagen gegevens bijvoorbeeld opzettelijk beschadigd, verwijderd, gewijzigd en/of vernietigd (dan wel wordt hiermee gedreigd). Bij manipula-tie van systemen worden opzettelijk storingen veroorzaakt in de besturing van de systemen (bijvoorbeeld aanvallen op informatiesystemen die zorgen voor de aansturing van vitale infrastructuren). In dit rapport worden speci-fiek de volgende subthema’s nader toegelicht (zie ook schema 2):
– malware in systemen (virussen, wormen, Trojaanse paarden); – defacing (pharming);
– (h)acktivisme;
– cyberterrorisme (vitale infrastructuren).
Malware in systemen (virussen, wormen, Trojaanse paarden)
Malware (afkorting van ‘malicious software’) is het bulkbegrip voor computer-programma’s die zonder toestemming van de eigenaar of beheerder draaien op een computer en het systeem iets laten doen naar de wens van een bui-tenstaander (KLPD, DNRI, 2007a: 15). Computers kunnen op uiteenlopende manieren worden besmet met malware, bijvoorbeeld via het openen van e-mailberichten of bijlagen, door bezoek aan websites, en door het klikken op advertenties of het downloaden van (gratis) software (KLPD, DNRI, 2007a: 16-17). De OPTA (Nederlandse toezichthouder op de post- en telecommuni-catie) onderscheidt vier vormen van schadelijke software (of malware): – spyware, ofwel software waarmee gevoelige informatie (bijvoorbeeld
bankgegevens) van het doelwit wordt verzameld;
– adware, ofwel software die zonder toestemming op de computer van het doelwit wordt geïnstalleerd en daar ongewenst advertenties rondzaait; – traditionele virussen99 die schade aan het computersysteem aanrichten; – moderne virussen (Trojaanse paarden)100 waarmee de controle over een
computer wordt overgedragen aan derden (Govcert, 2007: 13)
99 Wormen en virussen zijn stukjes code. Een worm is een programma met een reeks instructies dat zichzelf vermenigvuldigt en verspreidt. Een virus is een programma met een reeks instructies dat zichzelf vermenigvuldigt en zich verspreidt door zich te bevestigen aan bestanden of programma’s. Er zijn ook polymorfische wormen en virussen die zichzelf aanpassen en voortdurend veranderen om detectie te voorkomen (Govcert, 2006: 53-58; KLPD, DNRI, 2007a: 15).
100 Trojaanse paarden zijn ogenschijnlijk ongevaarlijke en nuttige programma’s die onopgemerkt op een computer draaien en vaak ongewenste (kwaadaardige) acties uitvoeren, vaak met behulp van zogenoemde backdoors, rootkits, keyloggers, spyware en bots. Door Trojaanse paarden is het dus mogelijk dat computers worden besmet en vervolgens op afstand bestuurd kunnen worden. Ze worden meestal verspreid via wormen en virussen (Govcert, 2006: 53-58; KLPD, DNRI, 2007a: 15).
Tegenwoordig worden virussen en Trojaanse paarden door hackers/ crackers op maat gemaakt (tegen forse betaling) met als specifiek doel het aanleggen van botnets die vervolgens te huur zijn voor spammers of criminele organisaties (MessageLabs, 2005).
Defacing (pharming)
Er is sprake van defacing wanneer een website zonder toestemming wordt veranderd, vervangen, vernield of wanneer bezoekers van een website zonder het te weten automatisch worden doorgeleid naar een andere (nep)website. Het doorgeleiden naar een nepwebsite wordt ook wel pharming genoemd (Govcert, 2006: 35). Uit interviews met deskundigen komt naar voren dat defacing, net als dDoS-aanvallen, als middel wordt ingezet voor afpersing (vooral e-commerce-bedrijven kunnen omzetver-liezen vermijden door het betalen van een afkoopsom aan de afpersers). Internetgebruikers die als gevolg van pharming ten onrechte in de ver-onderstelling zijn met een originele website te maken te hebben, kunnen vertrouwelijke gegevens uitwisselen met de omgeleide nepwebsite (zoals wachtwoorden en creditcardgegevens). Voor criminelen is het niet moei-lijk om met de onderschepte gegevens internetfraude te plegen (zie para-graaf 2.3.3).
(H)acktivisme
Massale fysieke deelname aan demonstraties is door het gebruik van ICT minder noodzakelijk geworden. Ook zonder een grote organisatie of demonstratie is het mogelijk om toch een stem te laten horen aan mil-joenen anderen door bijvoorbeeld gebruik te maken van internet (NRC Handelsblad, 29 januari 1999). Hacktivisme staat voor het hacken van computersystemen uit vaak politiek gemotiveerde, activistische over-wegingen en de betrokken activisten worden dan ook wel aangeduid als ‘hacktivisten’. Het protest kan zich uiten door bijvoorbeeld websites te blokkeren (met behulp van dDoS-aanvallen). Zo waren de Deense over-heidssites een tijdje onbereikbaar nadat in de media spotprenten waren gepubliceerd van de profeet Mohammed (NCTb, 2006: 12). Op verschil-lende nieuwsforums zouden gedetailleerde instructies zijn verschenen hoe een dDoS-aanval moest worden uitgevoerd. In mei 2007 waren ook de overheidssites in Estland gedurende enkele dagen onbereikbaar vanuit het buitenland als gevolg van massale dDoS-aanvallen. Dit gebeurde vlak nadat Estland besloot om een oorlogsmonument uit de Sovjettijd te ver-plaatsen van het centrum van Tallinn naar een buitenwijk.101
101 Hoewel een Estse student werd gearresteerd die op internetfora instructies had geplaatst om overheidssites aan te vallen, bestaan er vermoedens bij de Estlandse autoriteiten dat de Russen achter de aanval zitten (Security.nl 18 mei 2007; Tweakers.net 14 mei 2007).
Ook kunnen hacktivisten uit protest websites veranderen en er politiek getinte boodschappen achterlaten (defacing). Jaren geleden was China hiervan doelwit toen de mensenrechtensite van de Chinese regering en de Chinese website met censuurvoorschriften werden veranderd en/of verwijderd. Recent staan dergelijke protestacties vaak in het teken van de problematiek in het Midden-Oosten en worden veel Israëlische websites gehackt (NCTb, 2006b: 36, 74-75; NRC Handelsblad, 25 augustus 2006). Onlangs nog werd de officiële website van de Verenigde Naties gehackt als actie tegen het Amerikaanse en Israëlische beleid in het Midden-Oosten. Op de site waar normaal gesproken recente toespraken van de VN-secre-taris-generaal staan weergegeven, was een korte boodschap te lezen: ‘Hey Israël en VS, hou op met kinderen en andere mensen te doden. Eeuwige vrede. Geen oorlog’ (12 augustus 2007).
Behalve het blokkeren en wijzigen van websites kunnen hacktivisten ook massale e-mail (e-mailbommen) versturen waarmee systemen worden overbelast of politieke statements doen met behulp van een zogenoemde Google-bom (Europol, 2003: 42, 52-53; NCTb, 2006b: 36). Dit is een poging om het zoekresultaat van Google te beïnvloeden door een bepaalde pagi-na hoog op de resultatenlijst van een zoekopdracht te laten verschijnen. Zo werd de website van Bush jr. bijvoorbeeld het eerste zoekresultaat als men zocht op de termen ‘miserable’ en ‘failure’ (NCTb, 2007: 74-75). Cyberterrorisme (vitale infrastructuren)
Ook terroristen kunnen door middel van dDoS-aanvallen de computer-systemen die websites en andere voorzieningen aansturen overbelasten en ontwrichten (NCTb, 2006b: 19-20). Alleen ingeval het systemen betreft van vitale infrastructuren spreken we in dit rapport van cyberterrorisme. Vitale infrastructuren zijn systemen die zo vitaal zijn voor een land dat de ontregeling of vernietiging ervan een ontwrichtend effect zou hebben op de nationale veiligheid, economische zekerheid, volksgezondheid of veiligheid. Te denken valt aan de overname van besturingssystemen van het lucht- en spoorwegverkeer, van militair-strategische systemen in de ruimte, van vitale installaties in de chemische sector, van de farmaceu-tische industrie, of energiecentrales. Deze industriële processen worden door het Supervisory Control and Data Acquisition (SCADA-)systeem aangestuurd en gecontroleerd, en zijn ontworpen om op afstand bediend te worden (NTCb, 2006: 26). Ook kunnen aanvallen gericht zijn op het internet zodat communicatie- en transportsystemen, crisis-, informa-tie-, of virtuele diensten als internetbankieren worden platgelegd102 (zie Benschop, 2007; NCTb, 2007: 7; NHTCC, 2006b: 20; Weimann, 2005) of
102 Ook het wijzigen van de samenstelling van producten in de voedingsindustrie (Benschop, 2007) of het wijzigen van patiëntengegevens in ziekenhuizen (zoals bloedgroepen of medicaties) kunnen dramatische gevolgen hebben (NCTb, 2007: 36).
kunnen aanslagen op fysieke doelen worden gepleegd via het internet (om rampen te veroorzaken dan wel te versterken).
Bij cyberterrorisme gaat het hoe dan ook om politiek gemotiveerde aanvallen tegen gegevens, informatiesystemen en computerprogram-ma’s (ICT) die resulteren in grootschalige maatschappelijke ontwrichting, angst, geweld en terreur tegen niet-strijdende doelwitten (Europol, 2003: 42; Weimann, 2005; Stohl, 2006).
In bijlage 5 staan al verschillende argumenten opgesomd waarom het internet voor terroristen een belangrijk instrument is. In aanvulling daarop zijn er diverse redenen waarom het aanvallen van vitale infra-structuren een aantrekkelijke optie is voor terroristen (NCTb, 2006a: 16; Weimann, 2005):
– het kan op afstand worden gepleegd (tijd, locatie en omstandigheden worden zelf bepaald);
– het brengt voor de dader minder risico met zich mee op dodelijke afloop;
– het is laagdrempelig (minder fysieke training en psychologische inves-tering vereist);
– het kan grote economische schade aanrichten; – het gaat gepaard met veel media-aandacht.
Tegenargumenten waarom het internet geen aantrekkelijk doelwit vormt zijn er ook (NCTb, 2006a: 18). Zo zijn bijvoorbeeld de effecten relatief onvoorspelbaar, levert het geen spectaculaire beelden op en zijn terroris-ten zelf juist afhankelijk van een goed functionerend internet. Bovendien, stelt Weimann (2005), staan belangrijke vitale infrastructuren niet fysiek met het internet in verbinding en kunnen daardoor niet door hackers van buitenaf worden gekraakt. Al zijn er indicaties dat jihadisten belangstel-ling hebben voor dit type aanslagen103 (Clarke, 2003; NCTb, 2006b: 37, 44; Weimann, 2005), concrete pogingen tot dergelijke acties zijn tot op heden ook nog niet geconstateerd (Goodman e.a., 2007),
Voormalig directeur van de National Infrastructure Protection Center van de FBI, Ron Dick (aangehaald door Clarke, internetpublicatie 2003), ziet de terreurdreiging van cyberterrorisme als reëel maar niet erg waarschijnlijk: ‘…Because it doesn’t have the impact that they’re looking for. Most terrorist organizations want to have visuals, if you will, for the media, of loss of life and destruction of various buildings and so forth. If you have an attack in cyberspace, you’re not going to have those kinds of visuals that terrorist
103 Het is vooralsnog onbekend in hoeverre terroristen door middel van hacking (via infiltratie, op grond van eigen expertise of het inhuren ervan) informatie bemachtigen die kan worden ingezet voor de jihad, al wordt dit door de NCTb (2007: 78) wel waarschijnlijk geacht. Wel zijn er aanwijzingen van betrokkenheid van hackergroepen in de wereldwijde jihad (NCTb, 2007: 21).
organizations are looking for… What does keep me awake at night is that if they use visuals in conjunction with a cyber attack, it can dramatically compound the impact of that.’ Dit is het geval wanneer fysieke aanvallen worden gecombineerd met een cyberaanval waardoor bijvoorbeeld crisis-responsdiensten niet in actie zouden kunnen komen. Volgens Weimann (2005) zijn het vooral wraakzuchtige insiders die een gevaar vormen voor de vitale infrastructuren: (ex-)medewerkers die bijvoorbeeld werkzaam zijn (of waren) bij en voor SCADA-systemen. Deze mensen beschikken over de specifieke technische kennis en vaardigheden om cyberaanslagen te plegen.
In 2005 werd in Amerika het bedrijf van de 43-jarige Sylvestre (een sys-teembeheerder van de Amerikaanse marine) gepasseerd voor een contract. Uit wrok programmeerde de man ondeugdelijke commando’s in de be-sturingssystemen van het computernetwerk van de United States Navy European Planning and Operations Command Center (NEPOCC) waarmee locaties en bewegingen van schepen en onderzeeboten gevolgd werden. Het was de bedoeling dat deze op tilt zouden slaan en dat de nieuw aangenomen systeembeheerder (werkzaam voor de concurrent van het bedrijf van Sylvestre) de (mogelijk fatale) computerstoring in de schoenen zou worden geschoven. Het plan werd voortijdig ontdekt waardoor catastrofale gevolgen uitbleven.
In de Nederlandse studie van Van der Werf (2004) waren de geïnterview-den het met elkaar oneens over de mate waarin er risico’s bestaan op cyberterroristische aanslagen. Sommigen wezen erop dat het aansluiten van bepaalde diensten op internet het risico met zich meebrengt dat hackers zich er toegang toe verschaffen. Voor Nederland wordt het risico op een cyberterroristische aanval vooralsnog niet waarschijnlijk geacht (NCTb, 2006a). Overigens stelt het NCTb (2007: 40) wel vast dat ‘social engineering’, waarbij vertrouwelijke informatie onder valse voorwendse-len wordt verkregen om bijvoorbeeld toegang te krijgen tot een systeem, een belangrijk middel in de voorbereiding van een cyberaanval kan zijn. Uit een oefening van de nationale veiligheidsdienst van de Verenigde Staten (NSA), in 1997, bleek dat de veiligheidssystemen van het Pentagon te kraken waren met behulp van vrij beschikbare (!) software op het inter-net. Hackers (die zich voordeden als IT-medewerker of hooggeplaatste functionaris binnen de organisatie) was het gelukt om medewerkers van het Pentagon over te halen om logincodes vrij te geven (Weimann, 2005).