Ondanks allerlei beveiligingsmaatregelen is het mogelijk dat mensen, zon-der daartoe de bevoegde autorisatie te hebben, inbreken op ICT-netwer-ken en systemen. Er wordt dan wel gesproICT-netwer-ken van ‘computervredebreuk’ of ‘hacking’ en dit is in Nederland strafbaar gesteld.90 Er zijn verschillende technieken die (vaak in combinatie) worden toegepast om te kunnen
ongemerkt worden geïnstalleerd op de computer. Malware (afkorting van ‘malicious software’) is het bulkbegrip voor computerprogramma’s die zonder toestemming van de eigenaar/beheerder draaien op een computer en het systeem iets laten doen naar de wens van een buitenstaander. Zie voor een overzicht tevens paragraaf 2.4.
90 Onder de oude Wet op de Computercriminaliteit I was het inbreken op systemen alleen strafbaar indien de systeembeveiliging werd doorbroken door een technische ingreep. Deze eis is in de nieuwe Wet op de Computercriminaliteit II komen te vervallen: het inbreken op systemen is per definitie strafbaar zodra men zich op verboden terrein begeeft.
inbreken op systemen. We geven hier een uitgebreide beschrijving van hacking en botnets.
Hacking
Wanneer iemand zich op ongeautoriseerde wijze van buitenaf toegang verschaft tot ICT (computers, netwerken, systemen), is er sprake van ‘hacking’. Hackers deden dit voorheen voornamelijk als hobby om veilig-heidslekken in systemen aan te tonen. Hoe moeilijker de klus, hoe meer status men verwierf wanneer men erin slaagde ‘binnen te komen’. Onder de hackers bestaat een ware (sub)cultuur met eigen regels en gebruiken. Daarbij is sprake van een subcultuur met een specifieke statushiërarchie, specifieke taal, normen en symbolen (Turgeman-Goldschmidt, 2005). Binnen de hackinggemeenschap delen de leden van de groep een sociale identiteit die volgens Jordan en Taylor (1998) gebaseerd is op zes indicato-ren (ook aangehaald door Van der Werf, 2003):
– plezier in technologie en het onverwachtse, innovatieve gebruik ervan; – een spanningsveld tussen geheimhouding (uit handen blijven van de
opsporing) en publiciteit (informatie delen om erkenning te krijgen); – anonimiteit (de werkelijke ‘off-line’ identiteit wordt verborgen
gehou-den);
– fluïditeit (een informele cultuur waar men soms wel en soms niet bij hoort);
– masculiene en vrouwonvriendelijke attitudes;
– voortdurende expliciete reflectie op de motivatie van het hacken (verslavende werking, nieuwsgierigheid, sensatie, macht, erkenning, en de dienstverlenende functie van het ontdekken van gaten in de beveiliging).
Hackers kunnen groepsgewijs werken in dezelfde fysieke ruimte of juist geïsoleerd maar wel deel uitmakend van een groep die af en toe samen-komt (bijvoorbeeld via bulletin boards).91 Binnen de sociale groepen of gemeenschap voorziet men elkaar van informatie, expertise, sociale steun, training, tijdschriften en zelfs conferenties (Europol, 2003: 74; Jordan en Taylor, 1998: 758). Er is sprake van grote statusverschillen: om in aanzien te stijgen moet men zich bewijzen door anderen telkens te overtreffen met nieuwere, meer innovatieve en slimmere technieken en vaardigheden92 (Europol, 2003: 72, 114). Tegenwoordig zijn hackers echter steeds meer financieel gemotiveerd geraakt en is er sprake van een trend
91 Toegang tot sommige bulletin boards verkrijgt men soms pas nadat men zich in technisch opzicht heeft bewezen. Sommige hackers nemen dan ook zogenoemde trofeeën of overwinningstekens mee om te laten zien (Jordan en Taylor, 1998).
92 Op een hackerconferentie in 2000 toonde een Nederlands computerbeveiligingsbedrijf aan in te kunnen breken op het tot dan toe veronderstelde onaantastbare Lotus Notes systeem (software die door nagenoeg alle banken, verzekeraars, accountantskantoren en inlichtingendiensten van overheden wordt gebruikt om vertrouwelijke informatie in op te slaan en onderling uit te wisselen) (NRC Handelsblad, 1 augustus 2000).
van ‘hacking for fame’ naar ‘hacking for fortune’ (Boerman en Mooij, 2006: 22). Hackers opereren dus steeds vaker met criminele bedoelingen en raken in toenemende mate betrokken bij criminele organisaties. Om die reden worden ze ook wel ‘crackers’ (criminele hackers) genoemd (Boer-man en Mooij, 2006: 22; Govcert, 2006: 32). In Rusland, waar hacking als alternatief wordt gezien voor het gebrek aan goedbetaalde banen op de arbeidsmarkt, zouden er zelfs gespecialiseerde trainingen bestaan en kunnen instructies en hackingtools veelvuldig (gewoon op de markt) worden verkregen (Walker, 2004: 6).
Een hackpoging voldoet doorgaans aan drie criteria: het is ongeoorloofd, eenvoudig maar doordacht, en het getuigt van een hoge mate van techni-sche onderlegdheid en expertise (Turkle, aangehaald in Jordan en Taylor, 1998: 759). Er worden verschillende hackingtechnieken gebruikt om toe-gang te krijgen tot computers, netwerken en systemen. Dit varieert van het raden van wachtwoorden tot het uitbuiten van beveiligingslekken in software en computersystemen (NCTb, 2006b: 20). Technische hulpmid-delen die daarbij worden gebruikt zijn bijvoorbeeld backdoors,93 rootkits,94 spyware, keyloggers en bots (voor een uitgebreidere beschrijving verwij-zen we naar Govcert, 2006: 57-58). Bots zijn programma’s die ongemerkt automatisch werk kunnen uitvoeren (malware zoals wormen en Trojaanse paarden, zie paragraaf 2.4.3) en omvatten vaak een backdoor-component waardoor zij commando’s kunnen ontvangen. Computers die besmet zijn met een bot (‘zombie’ computers) kunnen zonder medeweten van de eigenaar/gebruiker op afstand worden bestuurd (zie ook Choo, 2007). Volgens onderzoek van Sophos (aangehaald in Choo, 2007: 3) zou een schone computer zonder antivirusprogramma of firewall maar liefst 50% kans hebben om binnen een half uur na verbinding te hebben gelegd met het internet, al te zijn geïnfecteerd tot zombie. Vaak blijven zombies zoge-noemde ‘slapende cellen’ totdat de computers externe commando’s krij-gen om geautomatiseerd werk uit te voeren.
Botnets
Een botnet is een verzameling (heel leger) van geïnfecteerde zombiecom-puters. Botnets worden veelvuldig ingezet voor dDoS-aanvallen (al dan niet in combinatie met afpersing van een persoon of bedrijf), maar ze worden ook gebruikt voor phishing, spamming, identiteitsfraude via het
93 Backdoors staan voor (onderdelen van) software die ongeautoriseerd toegang tot een systeem verschaft. Deze kunnen bijvoorbeeld door een programmeur in een systeem worden gebracht zodat men zich later toegang kan verschaffen tot de software of het systeem waar het op draait met omzeiling van de bestaande beveiligingscontroles (KLPD, DNRI, 2007a).
94 Rootkits is een verzamelnaam voor kwaadaardige programma’s die zich nestelen in een besturingssysteem en daar essentiële onderdelen vervangen. Het bevat meestal software om toetsaanslagen te verzamelen (keyloggers) en achteringangen in het systeem te bouwen (backdoors). Ze zijn over het algemeen moeilijk te detecteren en infecteren het systeem zonder dat de gebruiker het weet (Wikipedia, laatst geraadpleegd op 19 juli 2007: http://nl.wikipedia.org/wiki/Rootkit).
internet en verspreiding van kinderporno (Choo, 2007; McAfee, 2006: 16; Neve, 2007). Botnets worden om die reden door Molenaar (2007: 49) ook omschreven als ‘…het belangrijkste middel dat cybercriminelen in handen hebben om andere activiteiten mee te ontplooien’. Het opzetten van een botnet vereist in principe minimale technische vaardigheden (Ianelli en Hackworth, 2005: 4). Instructies zijn openlijk te vinden op het internet maar de meeste hackers zijn bovendien bereid hun informatie met andere belangstellenden te delen (via IRC worden volledige trainingen aangebo-den). Botnets worden ook te huur aangeboden (V-NDB2006). Nederland staat overigens als tiende op de ranglijst van verspreiders van botnets (Molenaar, 2007). Dit zou kunnen betekenen dat Nederlandse hackers nauw betrokken zijn bij het opzetten ervan. Een belangrijke hackingzaak die de afgelopen jaren in Nederland bekendheid kreeg, betrof de zaak van de ‘Tilburgse hackers’.
De hoofdverdachte was een 20-jarige, mannelijke mbo-student uit Loon op Zand. De andere twee verdachten waren een 28-jarige man uit Rijswijk en een 23-jarige man uit Tilburg. De verdachten hadden in 2005 twee virussen geschreven en verspreid en daarmee een botnet opgezet van ruim een mil-joen zombie-computers. Met het zogenoemde Toxbot-virus werd het botnet gecreëerd (met keylog-functionaliteit om toetsaanslagen vast te leggen) dat werd misbruikt om met name Amerikaanse bedrijven af te persen en op te lichten. Met het Wayphisher-virus (een Trojaans paard waarmee inlog-gegevens voor online bankieren werden onderschept) en door bezoekers van de internetpagina van de bank om te leiden naar een nepwebsite werden creditcard- en betaalgegevens gestolen om rekeningen mee te plunderen en luxe apparatuur te bestellen. Interessant in deze is de connectie van de hoofdverdachte met vermoedelijke Oost-Europese criminelen (de man had een bankrekening lopen in Estland). Twee verdachten werden veroordeeld tot respectievelijk twee en anderhalf jaar gevangenisstraf plus een geldboete (De Volkskrant, 25 augustus 2006; Webwereld, 14 februari 2007, 31 januari 2007, 16 januari 2007).
De Tilburgse hackers ontwikkelden dus een botnet met spyware, persten Amerikaanse bedrijven af, gebruikten nepwebsites waar betaalgegevens werden gestolen en pleegden internetfraude. Dit voorbeeld is illustratief voor de verschillende criminele markten die hackers kunnen aanboren. De gemiddelde omvang van botnets neemt recentelijk overigens af (zodat zij minder goed traceerbaar zijn voor de opsporingsdiensten) (zie Choo, 2007: 3). Er is duidelijk sprake van diversificatie: verschillende vormen van computercriminaliteit worden niet alleen in combinatie toege-past (hacking, botnets, spamming, malware, pharming, dDoS-aanval) maar zijn tegelijkertijd het instrument voor verschillende vormen van cybercriminaliteit (zoals internetfraude met behulp van phishing en afpersing). Er is tevens sprake van taakspecialisatie: criminelen maken
gebruik van experts (of zijn zelf experts die samenwerken) die zich toeleg-gen op specifieke ICT-deeltaken zoals het creëren van botnets en het maken van nepwebsites (Boerman en Mooij, 2006).