Onveiligheid op het internet.  (Tom Lanssens)

 

home lijst scripties inhoud vorige volgende  

 

INLEIDING

 

Méér dan ooit is informatie- en communicatietechnologie (ICT) in het algemeen en internet in het bijzonder een enorm belangrijke pijler van onze samenleving geworden[1]. De mogelijkheden die internet ons biedt, zijn dan ook legio : dataverwerving, dataoverdracht, communicatie, handel, informatievoorziening, bankieren, e-government, tax-on-web, ... de lijst lijkt eindeloos.

Met het dagelijks verder evolueren van de technologie, kunnen steeds meer maatschappelijk essentiële processen via het internet afgehandeld worden; een gegeven waar individuen, bedrijven, verenigingen, overheidsinstellingen, banken, scholen, ziekenhuizen, ... dankbaar gebruik van maken[2]. In 2004 werden in België ruim 145 miljoen bankverrichtingen van thuis uit via het internet uitgevoerd[3]. In 2005 dienden 570.000 Belgen hun belastingsaangifte in via de tax-on-web-website van de overheid[4]. Naarmate de tijd vordert zullen ook alle Belgen over een elektronische identiteitskaart beschikken[5], waarmee men zich online kan identificeren en talloze rechtshandelingen op gebied van e-government, e-banking en e-commerce online kan verrichten.

 

Kortom, de samenleving anno 2006 steunt voor een belangrijk deel op informatie en haar technologie en deze pijler wegnemen zou haar ernstig aan het wankelen brengen[6].

 

Toch wordt deze pijler dagelijks onder vuur genomen. Hackers, virusontwikkelaars, fraudeurs, softwarepiraten, spammers, cyberstalkers en diverse andere malafide figuren trachten iedere dag opnieuw dit wereldwijde netwerk te misbruiken via al even diverse vormen van cybercriminaliteit. E-mailadressen worden dagelijks bestookt met spam, virussen en berichtgevingen die ertoe moeten leiden dat de ontvanger persoonlijke gegevens, zoals bijvoorbeeld zijn kredietkaartinformatie, vrijgeeft[7]. Dagelijks worden gemiddeld vier nieuwe virusdreigingen gemeld door Symantec, een gerenommeerde antivirusontwikkelaar[8]. Iedere dag worden honderden websites van bedrijven en overheidsinstellingen vervormd door website defacers, waardoor nietsvermoedende surfers verkeerde informatie te lezen krijgen of doorverwezen worden naar malafide sites[9]. Bijna alle van de 500 meest succesvolle bedrijven uit de Verenigde Staten werden reeds het slachtoffer van hackers[10]. Botnets[11] halen regelmatig servers van grote online bedrijven, waaronder ook Amazon en Yahoo in 2000, offline, waardoor deze ondernemingen miljoenen dollars aan inkomsten verloren zien gaan[12]. Diezelfde botnets kunnen er ook voor zorgen dat servers van internet providers (ISP’s) worden neergehaald, waardoor ettelijke aantallen gebruikers, bedrijven en overheidsinstellingen de toegang tot bepaalde informatiebronnen wordt ontzegd. Worms infecteren wereldwijd honderdduizenden computers, waardoor hele systemen ontregeld raken. Check-in systemen van luchtvaartmaatschappijen raken ontregeld[13] en treinnetwerken worden vertraagd[14]. Het hoeft geen betoog wat de ernst van de gevolgen zou zijn, mochten ook de computersystemen van elektriciteitscentrales of andere kritische infrastructuren het door cybercriminaliteit begeven[15].

 

Net als in de fysieke wereld neemt criminaliteit ook in de digitale wereld haar dagdagelijkse plaats in en vormt hierbij, meer nog dan conventionele criminaliteit[16], een reële bedreiging voor onze informatiemaatschappij en de globale economie. Zowel in het belang van het individu als ter bescherming van de samenleving, is het noodzakelijk dat het internet en alle ICT-systemen in het algemeen, afdoende worden beveiligd om deze dreigingen af te kunnen slaan. Toch slagen cybercriminelen er dagelijks in om nieuwe gaten in de verdediging te vinden en zo de veiligheid op en van het internet in vraag te stellen. Deze scriptie focust zich niet zozeer op het fenomeen van cybercriminaliteit in se, maar wel op deze gaten die toelaten dat cybercriminaliteit wordt gepleegd[17]. Er wordt nagegaan hoe deze kwetsbaarheden worden gecreëerd, wat de impact ervan is en hoe ze kunnen vermeden worden.

 

Deze scriptie bestaat uit vier delen.

 

In het eerste deel wordt een onderscheid gemaakt tussen cybercriminaliteit en onveiligheid. Dit deel start met een definitie van beide termen en haalt een causaal verband tussen beide aan. Om het verdere verloop van deze scriptie beter te begrijpen, wordt in dit deel cybercriminaliteit onder de loep genomen. We halen enkele kenmerken aan, evenals een niet-exhaustieve lijst van de vormen waarin zij zich manifesteert.

 

Het tweede deel behandelt de oorzaken die leiden tot onveiligheid op het internet. Dit deel verdeelt zich in drie hoofdstukken. Hoofdstuk 1 haalt onveilige software aan als eerste oorzaak. Hierin worden de voornaamste softwarefouten uitgelegd en wordt de commerciële druk die softwareontwikkelaars ervaren geanalyseerd.

Het volgende hoofdstuk zoekt de oorzaak in het ontbreken van een vlot functionerend, internationaal juridisch kader dat opsporing van cybercriminaliteit mogelijk dient te maken en waarin publiek-private samenwerking moet worden gereguleerd.

Het laatste hoofdstuk tenslotte neemt de lage bewustzijnsgraad van gebruikers omtrent veiligheid op de korrel. In verschillende punten wordt aangetoond dat gebruikers het belang van veiligheid op het internet onderschatten.

 

Het derde deel bespreekt de impact van onveiligheid op het internet. Omwille van het causale verband dat we zullen zien in deel 1, gaat het hier eerder om de gevolgen van cybercriminaliteit. In dit deel komen zowel de impact op micro- als op macroniveau aan bod. Daarbij worden zowel de fysische schade als economische verliezen behandeld.

 

Het laatste deel tenslotte behandelt de aanpak van onveiligheid op het internet. Dit deel weegt de mogelijkheden van een repressieve aanpak af en plaatst deze tegenover een preventief optreden.

In het eerste hoofdstuk van dit laatste deel wordt kort de bestaande strafwetgeving en strafprocedureregels overlopen. Het hoofdstuk vervolgt met het bespreken van enkele beperkingen die ertoe leiden dat een repressieve aanpak van cybercriminaliteit weinig succesvol is.

Het tweede hoofdstuk pleit voor een preventieve aanpak en haalt enkele mogelijkheden aan om het internet veiliger te maken en dus de kans tot cybercriminaliteit in te perken. De mogelijke maatregelen in dit hoofdstuk richten zich zowel naar softwareontwikkelaars als naar gebruikers.

 

 

DEEL 1: Onveiligheid en cybercriminaliteit

 

Dit deel start met de definitie van cybercriminaliteit en onveiligheid, waarbij meteen een onderscheid wordt gemaakt tussen beide. Om het verdere verloop van deze scriptie beter te kunnen begrijpen, wordt in dit deel cybercriminaliteit toegelicht en enkele kenmerken, motivaties en vormen aangehaald.

 

 

1. Definitie

 

1.1. Cybercriminaliteit

 

Tot voor kort werd cybercriminaliteit gedefinieerd als een misdrijf waarbij een computer betrokken was als middel om de materiële component van het misdrijf te begaan[18]. Deze definitie is ondertussen achterhaald en werd ook in onze strafwetgeving uitgebreid met handelingen die tot doel hebben computers, computersystemen en computernetwerken te schaden[19] (cfr. infra, deel 4, 1.1). Deze handelingen kunnen bijvoorbeeld de ontwikkeling van virussen inhouden, het onderscheppen en manipuleren van data, het zich illegaal de toegang verschaffen tot systemen of het uitvoeren van DDoS aanvallen[20] met de buitenwerkingstelling van computersystemen tot gevolg.

 

1.2. Onveiligheid

 

In deze scriptie wordt onveiligheid op het internet gedefinieerd als de mogelijkheid om cybercriminaliteit in zijn strafrechtelijke betekenis te plegen. Onveiligheid op het internet is het geheel van kwetsbaarheden die op de verschillende niveaus van het internet (mensen, processen en techniek[21]) aanwezig zijn en door cybercriminelen enkel worden uitgebuit in hun illegale activiteiten en niet gecreëerd[22]. Met deze definitie wensen we in deze scriptie dan ook aan te geven dat onveiligheid op het internet niet het gevolg is van cybercriminaliteit, maar net andersom : cybercriminaliteit is het gevolg van de reeds bestaande onveiligheid. De verantwoordelijkheid van onveiligheid op het internet dient dan ook niet louter gezocht te worden bij cybercriminelen, maar is een zaak van iedereen die zich met het internet verbindt.

 

2. Kenmerken van cybercriminaliteit

 

Cybercriminaliteit wordt algemeen gekenmerkt door 3 factoren[23] :

 

 

 

3. Nieuwe criminaliteitsvorm ?

 

Cybercriminaliteit mag dan nog wel een relatief recent fenomeen zijn, toch is het niet noodzakelijkerwijs een nieuwe criminaliteitsvorm[27]. Het internet heeft op drie wijzen impact op crimineel gedrag[28]. Bij twee daarvan gaat het om reeds bestaande criminaliteit :

 

 

In vergelijking met conventionele criminaliteit biedt het internet de cybercrimineel enkele heel interessante voordelen. Vooreerst is er een enorme bron aan potentiële slachtoffers, verspreid over de hele wereld, die, omwille van de recentheid van het fenomeen, weinig ervaring hebben met veiligheid en cybercriminaliteit. Verder worden de illegale handelingen van de cybercrimineel danig vereenvoudigd door de toegankelijkheid en de snelheid die kenmerkend zijn voor het medium. Tenslotte bieden het internationale karakter, de anonimiteit en de moeilijke samenwerking tussen overheden een extra voordeel omdat zij de opspoorbaarheid van de cybercrimineel en zijn activiteiten grondig bemoeilijken.

 

 

4. Motivaties

 

Gezien het merendeel van de cybercriminaliteit slechts een digitale variant is van traditionele misdrijven, zijn ook de motivaties om ze te plegen niet zozeer verschillend[29]. Het verwerven van vermogensmiddelen, voornamelijk geld, is vooral vandaag de dag een belangrijke motivatie[30]. Dit is echter niet altijd zo geweest. In de begindagen van het internet werd het internet vooral onveilig gemaakt door hackers die er op uit waren hun kennis te testen, uitdagingen aan te gaan en roem te verwerven[31]. Dat je daarbij nog wat geld kon verdienen was aardig meegenomen, maar niet de hoofdzaak[32].

 

Ondertussen leven we in een informatiemaatschappij. Miljoenen mensen beheren hun geld online, waardoor er meer en meer geld op het internet te vinden is[33]. De toegang tot deze vermogensmiddelen wordt vaak slecht beveiligd met makkelijk te breken paswoorden, of is eenvoudig te verkrijgen via sluwe social engineering technieken[34] (cfr. infra, deel 2, 3.1.2). Het is dan ook niet moeilijk zich voor te stellen dat dit mensen aantrekt die uit zijn op makkelijk geldgewin. Steeds meer vindt de georganiseerde misdaad dan ook zijn weg naar het internet[35].

 

Naast de traditionele misdadigers die uit zijn op geld en de ethische hackers die het doen voor de roem en de uitdaging[36], heb je ook nog de script kiddies. Dit zijn (meestal jongere) hackers die niet over de nodige vaardigheden beschikken om echt iets te betekenen in het hackersmilieu. Vaak zijn dit dan ook tieners die pas de mogelijkheden van het internet hebben ontdekt en op zoek zijn naar een tijdverdrijf waarbij zij willekeurig schade gaan aanrichten of ergens onbevoegd toegang willen verkrijgen[37]. Omdat zij niet over de nodige kennis beschikken, maken script kiddies vaak gebruik van de eerder vermelde tools of scripts die door ervaren hackers werden geschreven. Dit betekent echter niet dat zij geen ernstige schade kunnen aanrichten of geen bekendheid kunnen verwerven. In 2000 liet de 15-jarige Canadees “Mafiaboy” servers van over de hele wereld crashen, waaronder die van Yahoo, CNN en Amazon. De schade werd op 1,7 biljoen dollar geschat[38].

De motivaties van script kiddies zijn vaak heel verscheiden. Vaak handelen zij uit verveling, uit nieuwsgierigheid, uit de wil om schade aan te richten en/of om te kunnen opscheppen tegenover andere script kiddies of hun vrienden[39].

 

 

5. Vormen

 

Hierna volgt een niet-exhaustieve lijst van vormen van cybercriminaliteit. Zoals we reeds eerder zagen, zijn sommige misdrijven niet en andere wel nieuw te noemen (cfr. supra, dit deel, 3). De verschillende types misdrijven zijn ook niet altijd even strikt van elkaar te scheiden. Sommige vormen brengen andere met zich mee of overlappen elkaar. De meest voorkomende cybermisdrijven zijn de volgende[40] :

 

5.1. Diefstal van telecommunicatiediensten

 

Deze vorm van cybercriminaliteit wordt ook phone phreaking genoemd en ligt zo goed als aan de basis van alle telecommunicatiecriminaliteit[41]. Phreakers waren vooral actief begin jaren ’70 en slaagden er in om gratis lange-afstandstelefoontjes te plegen door het nabootsen van een bepaalde fluittoon. Deze toon werd door telefoonmaatschappijen gebruikt om deze gesprekken over lange afstanden mogelijk te maken. De phreakers deden dit oorspronkelijk aan de hand van een plastieken fluitje dat bij ontbijtgranen zat en later door gebruik te maken van blue boxes.

 

Met het bekend raken van dit fenomeen en de technologische ontwikkelingen die natuurlijk ook binnen telefoonmaatschappijen plaatsvonden, hield deze vorm van telecommunicatiecriminaliteit al redelijk vlug op te bestaan. Tegenwoordig zijn er wel nog andere types in gebruik, waaronder het gebruik van vervalste telefoonkaarten of het maken van een internetverbinding via het onbeveiligde draadloze netwerk van een buurman.

 

Deze vorm van cybercriminaliteit kan door de dader enerzijds worden gepleegd om kosten voor zichzelf uit te sparen, maar anderzijds ook om op iemand anders naam illegale activiteiten uit te voeren en zo minder makkelijk opspoorbaar te zijn[42].

Volgens een onderzoek van Schieck[43] (1995) en later Newman[44] (1998) verliest de telecommunicatie-industrie hieraan tot 5 procent van haar totale omzet. Individueel kunnen de kosten voor de slachtoffers ook aardig oplopen. Zo slaagden hackers er in om op kosten van Scotland Yard internationale gesprekken te maken ter waarde van bijna 900.000 euro[45].

 

5.2. Communicaties ter bevordering van misdadige samenzweringen

 

Het internet is vooral voor ondernemingen en organisaties een enorm handig, eenvoudig en snel communicatie-instrument bij de organisatie van hun activiteiten. Uiteraard is dit niet anders voor criminele organisaties. Zij maken dankbaar gebruik van dit snel, wereldwijd communicatiemiddel bij de organisatie van drugstrafieken, illegaal gokken, witwaspraktijken, handel in kinderpornografie, ... De anonimiteit (cfr. infra, deel 4, 1.2.3.2) en de mogelijkheden tot het encrypteren van de communicatie – waardoor opsporing en bewijslast sterk bemoeilijkt worden – bieden een extra voordeel.

 

5.3. Piraterij en informatievervalsing

 

Digitale technologie maakt het heel eenvoudig om afbeeldingen, geluid, multimediatoepassingen en dergelijke meer te reproduceren en te verspreiden. De meest recente films en cd’s zijn soms van het net af te halen nog vóór ze officieel uitgebracht worden of in de zalen verschijnen. Velen komen in verleiding om de gratis afgehaalde software, films en muziek door te verkopen voor een lage prijs of zelfs gewoon weg te geven. Dat leidt uiteraard tot enorme verliezen voor softwarehuizen, filmmaatschappijen en platenlabels. Volgens Ryan[46] (1998) heeft dit de Amerikaanse industrie ongeveer 10 biljoen dollar gekost, waarvan onder andere 1,8 biljoen dollar in de filmindustrie, 1,2 biljoen in de muziekindustrie, 3,8 biljoen in de software-industrie en 690 miljoen dollar bij uitgeverijen van boeken.

 

5.4. Verspreiding van offensief materiaal

 

Het internet is een vrij medium en iedereen kan er zijn mening plaatsen of bestanden met anderen delen. Daar kan makkelijk misbruik van worden gemaakt en cyberspace is dan ook niet vrij van racistische uitingen, kinderpornografisch materiaal, instructies om wapens te maken en cyberstalking.

 

5.5. Digitale afpersing

 

Bij digitale afpersing breken hackers eerst in een computersysteem in om er bedrijfs- of persoonsgevoelige informatie uit te kopiëren/stelen. Vervolgens wordt de eigenaar van de informatie verwittigd dat men over deze gegevens beschikt en wordt een geldsom geëist in ruil voor het niet verspreiden of misbruiken van de gegevens.

Dit kan bijvoorbeeld gaan om de creditcardgegevens van één individu, waarbij het slachtoffer wordt afgeperst, maar evenzeer over het stelen van duizenden creditcardgegevens bij een bank, waarna dan wordt gedreigd om het gebeuren en de verworven gegevens bekend te maken. Uiteraard komt dit de reputatie van de desbetreffende instelling niet ten goede.

 

5.6. Elektronisch witwassen en belastingontduiking

 

Witwassen dient om illegaal verworven geld om te zetten in geld waarvan de herkomst op een (schijnbaar) legitieme manier kan worden verklaard. Bij witwaspraktijken probeert men dus de bron van de inkomsten te verbergen, zodat deze niet kunnen worden geconfisceerd.

Centraal bij het witwassen staat de creatie van complexe netwerken van financiële transacties, zodat het heel moeilijk wordt om de herkomst van vermogensvoordeel te achterhalen. Het spreekt voor zich dat computersystemen en -netwerken met hun technologische complexiteit en internationale structuren financiële transacties zeer moeilijk ontrafelbaar kunnen maken.

 

5.7. Elektronisch vandalisme en terrorisme

 

Zoals reeds vermeld werd in de inleiding is onze informatiesamenleving enorm afhankelijk geworden van complexe dataverwerking en telecommunicatiesystemen. Hieraan schade aanrichten kan leiden tot catastrofale gevolgen.

Dit kan op verschillende manieren. Vooreerst is er de creatie van virussen en andere malware. Een computervirus is een uitvoerbaar bestand (executable) dat zichzelf zal repliceren. In zo goed als alle gevallen vermomt het virus zich als een legitiem bestand om detectie te voorkomen. Wanneer het virus wordt uitgevoerd kan er op verschillende manieren schade worden toegebracht aan de computersystemen. Het vernielen van bestanden en het formatteren of laten crashen van de harde schijf zijn er slechts twee van.

Met het verdwijnen van de floppy’s en diskettes en de opkomst van de computernetwerken en e-mail, heeft het traditionele computervirus begin 21ste eeuw aan “populariteit” moeten inboeten ten koste van andere malware zoals worms en trojan horses (of korter trojans).

 

Ook DDoS-aanvallen behoren tot deze categorie.

 

5.8. Elektronische (handels)fraude

 

Hoewel in mindere mate dan men enkele jaren geleden verwachtte, maakt e-commerce steeds meer een deel uit van ons dagelijkse leven[47]. Maar met de stijgende populariteit van e-commerce, stijgt ook de fraude bij elektronische handel. Via het internet hebben fraudeurs nu immers de onmiddellijke toegang tot miljoenen potentiële slachtoffers, verspreid over de ganse wereld en met een minimum aan kosten en risico’s om ontdekt of herkend te worden.

 

Wellicht één van de eenvoudigste vormen van elektronische handelsfraude is een product online aanbieden (bvb. via een veilingwebsite zoals eBay), de aankoper op voorhand laten betalen en dan uiteindelijk het aangekochte goed niet verzenden.

Een meer ingenieuze vorm vindt plaats wanneer de cybercrimineel een goed wil aankopen en met de verkoper overeenkomt dat hij een voorschot zal betalen van bvb. 5.800 euro (beiden leven in verschillende landen). De dader schrijft echter een cheque uit van 8.500 euro en vraagt of de verkoper het teveel wil terugstorten via een online geldtransferbedrijf zoals Western Union. Kenmerkend aan dit bedrijf is dat men makkelijk een account kan aanmaken met valse identiteitsgegevens. De goedwillige verkoper die het bedrag terugstort en ook nog eens het verkochte goed verstuurt naar de koper, zal pas veel later merken dat de cheque vals is.

 

Nog een andere mogelijke manier om fraude te plegen via het internet, is het fenomeen van de Nigeriaanse fraude[48] (ook 419-fraude). Hierin worden e-mails gestuurd naar willekeurige e-mailadressen in naam van een gevallen regeringsleider uit het Afrikaanse continent. Deze zou over een gigantische rijkdom beschikken en dat geld uit zijn land in opstand willen wegsmokkelen. Hiervoor heeft hij echter de hulp nodig van de geadresseerde. De e-mailontvanger wordt gevraagd de kosten van de transactie op zich te nemen, maar de regeringsleider verzekert hem dat hij achteraf rijkelijk zal vergoed worden. Uiteraard laat de verzender van de e-mail niets meer van zich horen, eens hij het overgeschreven geld heeft ontvangen.

 

Een heel recent fenomeen dat de laatste maanden in opmars is, is phishing[49]. Alles begint met de ontvangst van een e-mail van een of andere bankinstelling. Daarin wordt melding gemaakt dat er zich een probleem heeft voorgedaan met de accountgegevens van de gebruiker en wordt deze gevraagd via een aangegeven site zijn of haar persoonlijke gegevens te wijzigen. Wanneer op de link wordt geklikt, komt de gebruiker op een website terecht die als twee druppels water lijkt op de website van de bankinstelling. In werkelijkheid betreft het een valse site die door cybercriminelen werd aangemaakt. Wanneer de argeloze gebruiker zijn naam en paswoord ingeeft met de intentie de persoonlijke gegevens te veranderen, is het hek van de dam en beschikken de daders over de login-gegevens van de gebruiker waarmee zij toegang hebben tot zijn creditcardinformatie.

 

Een recentere variant hierop is spear-phishing[50]. Cybercriminelen infecteren zoveel mogelijk pc’s met trojans en spyware. Aan de hand van deze malware wordt persoonlijke informatie uit de systemen van de slachtoffers gehaald, zoals bijvoorbeeld de moedertaal en de bankinstelling waarbij het slachtoffer is aangesloten, zodat meer persoonlijkere phishing e-mails kunnen worden verzonden.

Bij het gewone phishing gaat men willekeurig e-mails verzenden naar een zo groot mogelijke groep van gebruikers, in naam van een populaire bankinstelling zoals bijvoorbeeld CityBank. Hier gaat het daadwerkelijk om het hengelen naar een bepaald percentage gebruikers die klant zijn van dat bepaalde bankfiliaal. Voor Belgische ontvangers is deze vorm van fraude echter relatief eenvoudig te doorzien. Weinig Belgen zijn klant bij een bankinstelling uit het Verenigde Koninkrijk.

Met de persoonlijke informatie die werd verzameld, kunnen nu meer persoonlijke e-mails worden opgesteld en verzonden. Het slachtoffer zal nu een e-mail ontvangen in zijn moedertaal en van de bank waarbij hij is aangesloten. Op deze manier wordt het stukken moeilijker voor de ontvanger om de fraude te doorzien.

 

5.9. Illegaal onderscheppen van digitale informatie

 

Met de ontwikkelingen in de technologie ontstaan ook nieuwe mogelijkheden om elektronisch “af te luisteren”. Toepassingen hiervan zijn te vinden zowel bij het traditionele controleren van een ontrouwe echtgenoot tot fenomenen zoals politieke en bedrijfsspionage.

Er zijn verschillende mogelijkheden om digitale informatie te onderscheppen. Eén daarvan is het packet sniffing. Dit is een techniek waarbij internettrafiek wordt onderschept met behulp van software. Uit de verkregen gegevens kunnen niet enkel login-namen en paswoorden gehaald worden, ook kan die internettrafiek handig zijn voor spammers om nieuwe e-mailadressen te verwerven[51] en stelt het hackers in staat de identiteit van een ander aan te nemen[52] (identity theft).

 

5.10. Illegaal toegang verschaffen tot computersystemen en/of –netwerken

 

Het hacken van computers en netwerken is wellicht hét beeld dat iedereen krijgt bij de term “cybercriminaliteit”. Dit is niet verwonderlijk gezien het ook, samen met het ontwikkelen van virussen, één van de oudste vormen is van computercriminaliteit.

Reeds in de jaren ’60 “hackten” bedreven programmeurs van het Massachusetts Institute of Technology de logge computersystemen waarmee ze werkten om ze sneller en efficiënter te maken. In de beginjaren was er dan ook niets illegaals aan hacken. Hacken werd louter gebruikt om computersystemen te verbeteren. Dat veranderde echter in de jaren ’70 toen men ging beseffen dat de kracht van het hacken ook persoonlijke voordelen kon opleveren. Op dit moment ontstond het phreaken (cfr. supra, dit deel, 5.1).

 

Met de komst van het internet en de populariteit van films zoals “War Games” ontstonden in de jaren ’80 de eerste hackersverenigingen. Eén van hen was de groep 414 die zich volledig toelegde op het onrechtmatig toegang verkrijgen van computersystemen om er daarna schade in aan te richten. Zij waren dan ook één van de eerste om vervolgd te worden. Andere gekende verenigingen waren de Legion of Doom en de Masters of Deception.

 

Binnenbreken in een computersysteem of een account kan op verschillende manieren. De eenvoudigste is het raden van een paswoord. Hackers worden hierbij bijgestaan door de slachtoffers die, uit angst om hun wachtwoord te vergeten, zelden een moeilijk te raden paswoord kiezen[53]. Dit paswoord is vaak een kort, bestaand woord of een eigennaam, dat enkel uit lettertekens bestaat[54].

Het komt ook vaak voor dat het slachtoffer naliet om het standaardwachtwoord, dat door de fabrikant werd ingegeven, te wijzigen.

Hackers kunnen er ook in slagen dit wachtwoord te achterhalen via password breakers. Dit zijn tools die ofwel alle woorden uit een woordenboek overlopen (dictionary attack), of intenser, alle mogelijke letter- en cijfercombinaties uitproberen (brute force attack) [55].

Het hoeft echter niet altijd technologisch. Social engineering is een vaakgebruikte, succesvolle methode waarin hackers de naïviteit van mensen misbruiken om persoonlijke gegevens te bekomen (cfr. infra, deel 2, 3.1.2).

 

 

6. Slachtoffers

 

Gezien de term cybercriminaliteit een brede waaier aan criminele vormen inhoudt, hoeft het ook niet te verbazen dat dit ook geldt voor zijn slachtoffers. De aanvallen kunnen zowel gericht zijn op de overheid, als op organisaties, bedrijven en gewone gebruikers. Het is dan ook zo dat iedereen die zich verbindt met het internet, een mogelijk slachtoffer kan worden[56].

 

 

7. Conclusie

 

In dit eerste deel vormden we een definitie van onveiligheid waarin onveiligheid op het internet genoemd wordt als de mogelijkheid om cybercriminaliteit te plegen. Bijgevolg is cybercriminaliteit een gevolg van onveiligheid op het internet, waarbij kansen worden benut door cybercriminelen en niet gecreëerd.

 

In het verdere verloop van dit deel werd een beeld geschetst van wat cybercriminaliteit is en in welke vormen zij zich manifesteert. Hierbij dient vooral onthouden te worden dat cybercriminaliteit een zeer verscheiden fenomeen is dat dagelijks evolueert en een brede waaier aan vormen, motivaties en slachtoffers inhoudt.

 

 

DEEL 2 : Oorzaken van onveiligheid op het internet

 

In het vorig deel definieerden we onveiligheid op het internet als de mogelijkheid om cybercriminaliteit te plegen. Het is het geheel van kwetsbaarheden die niet worden gecreëerd door cybercriminelen, maar die reeds veelvuldig aanwezig zijn op het internet en slechts door delinquenten worden uitgebuit. In dit deel gaan we na welke de voornaamste oorzaken zijn die leiden tot deze kwetsbaarheden en die dus de onveiligheid op het internet tot gevolg hebben.

 

In het eerste hoofdstuk wordt onveilige software besproken. De voornaamste fouten en misbruiken van software worden hier voorgesteld, evenals de commerciële druk die op de schouders van softwareontwikkelaars ligt.

Het tweede hoofdstuk zoekt de oorzaak van onveiligheid bij het gebrek aan een vlot functionerend, internationaal juridisch kader dat opsporing en vervolging van cybercriminaliteit mogelijk maakt en waarin publiek-private samenwerking wordt gereguleerd. Dit hoofdstuk haalt kort het Cybercrime verdrag van de Raad van Europa aan en somt enkele beperkingen hieromtrent op.

Het laatste hoofdstuk tenslotte behandelt de lage bewustzijnsgraad van gebruikers omtrent hun rechten, plichten en verantwoordelijkheden binnen onze informatiemaatschappij. In dit deel wordt aangetoond dat gebruikers de nood aan veiligheid laag inschatten.

 

Het is op deze drie speerpunten dat een veilig internet mank loopt : mensen, processen en techniek[57].

 

 

1. Onveilige software

 

Veel auteurs zijn het erover eens : een aanzienlijk deel van de cybercriminaliteit wordt mogelijk gemaakt doordat softwareprogramma’s programmeerfouten bevatten[58]. Door deze fouten, bugs genaamd, wordt het mogelijk voor hackers en malware om de applicaties op een andere manier te gaan gebruiken dan oorspronkelijk bedoeld werd door de ontwikkelaars.

De voornaamste bugs zijn buffer overflows, race conditions, format string exploits en SQL-injections[59]. Deze bugs zouden ongeveer 90% van alle applicatieonveiligheden vormen[60].

 

1.1. Voornaamste bugs

 

1.1.1. Buffer overflow

 

Eén van de meest voorkomende misbruiken van bugs is het uitbuiten van een buffer overflow[61]. Buffers zijn blokken computergeheugen waarin verschillende instanties van eenzelfde datatype worden bijgehouden. Wanneer meer data in de buffer worden geschreven dan de buffer aankan, hebben we te maken met een buffer overflow.[62]

Er zijn verschillende types buffer overflows (heap overflow, arithmetic overflow, format overflow, …), maar stack overflow is ongetwijfeld de meest voorkomende.

 

Stacks zijn datastructuren voor gegevensopslag. Het zijn reeksen gegevens met het kenmerk dat het laatst toegevoegde gegeven steeds als eerste moet worden teruggegeven. Ook hier geldt het principe dat, wanneer te veel gegevens worden gestapeld, er een stack overflow wordt veroorzaakt. Wanneer deze moedwillig en met kwade intenties werd uitgelokt, dan kan dit eenvoudigweg bedoeld zijn om de applicatie te laten crashen, maar ook om het programma te kunnen manipuleren.

Deze manipulatie wordt kort uitgelegd. Zoals eerder aangegeven, wordt bij een overflow een teveel aan gegevens in de stack gestopt. Het gevolg hiervan is dat belangrijke data verloren gaan of bestaande data worden overschreven. Vooral het overschrijven van het return address is bij het manipuleren van applicaties een belangrijk doel. Dit adres zorgt ervoor dat, nadat alle handelingen in de stack werden uitgevoerd, het programma terug aangrijpt bij de eerstvolgende instructie. Door dit return address te overschrijven is het echter mogelijk om het programma na een overflow niet terug te laten keren naar waar het zou moeten, maar bijvoorbeeld wel naar een stuk programmacode dat geschreven werd door de hacker[63].

 

Buffer overflows voorkomen is in principe vrij eenvoudig[64]. De programmeur dient hier enkel een functie te schrijven die de ingevoerde gegevens controleert (boundary checking). Dit is een relatief eenvoudige functie die zal controleren of de ingevoerde gegevens wel in de buffer passen[65]. Indien niet, dan dient een foutmelding te worden gemaakt en de handeling stopgezet, waarna de applicatie zelf gewoon verder moet gaan.

 

Hoewel deze functie vrij eenvoudig te programmeren is, komen buffer overflows nog steeds in grote hoedanigheid voor[66]. De oorzaken hiervoor zijn veelvuldig : vooreerst kan het gewoon gaan om een menselijke fout : de programmeur kan eenvoudigweg vergeten zijn de functie te implementeren. Ook zijn niet alle programmeurs in dezelfde mate opgeleid. Het kan dus eventueel voorkomen dat de boundary checking functie niet werd toegevoegd uit onwetendheid. Erger is het wanneer ze niet werd toegevoegd uit gemakzucht, vanuit de gedachte dat de applicatie “toch wel niet misbruikt zal worden”. Vervolgens kan ook de commerciële druk worden aangehaald als oorzaak. In de woorden van programmeur Dominique Vermeersch[67] : “in de hedendaagse consumptiemaatschappij moest gisteren alles al af zijn”. Dit wordt echter later verder uitgewerkt (cfr. infra, dit deel, 1.2).

 

Tenslotte is het ook zo dat applicaties vaak in combinatie worden gebruikt met andere applicaties, die werden ontwikkeld door andere, onafhankelijke ontwikkelaars. Verschillende software worden bijvoorbeeld gebruikt op een Windows besturingssysteem. Of in combinatie met een Office pakket (door bijvoorbeeld gebruik te maken van een Microsoft Access Database). Ook al voorzag de programmeur een boundary checking functie in zijn applicatie, dan nog zal dit geen weerstand bieden aan buffer overflows wanneer de gelinkte applicatie ze veroorzaakt[68].

 

1.1.2. Race conditions

 

Race conditions worden veroorzaakt door multi-tasking, het simultaan behandelen van verschillende processen door éénzelfde bron (bestanden, apparaten, geheugen, ...). Het zijn heel tijdsgebonden kwetsbaarheden omdat ze enkel kunnen voorkomen op het tijdstip tussen het controleren van een bepaalde procesaanvraag (time of check) en het toekennen en gebruiken van die aanvraag (time of use)[69].

 

Het kan bijvoorbeeld gebeuren dat zowel persoon A als persoon B aan een server de toegang vragen tot bepaalde delen van een netwerk. Maar enkel persoon A heeft toegangsrechten, persoon B niet. Wanneer persoon A zijn paswoord ingeeft en dus de toegang aanvraagt, zal de server deze aanvraag eerst controleren (time of check). Als de aanvraag legitiem is en de toegang mag worden verleend, kan persoon A deze goedkeuring gebruiken (time of use). Wanneer persoon B er echter in slaagt om in die tijdspanne tussen time of check en time of use de server te manipuleren, kan hij de toegangsrechten, die voor persoon A bedoeld waren, afnemen en ze zelf gaan gebruiken[70]

De term race conditions dankt zijn naam aan de visuele voorstelling van de 2 processen die tegen elkaar op racen om een bepaalde output te verkrijgen[71].

 

Een verschil met buffer overflow en format string aanvallen (cfr. infra, dit deel, 1.1.3) is dat het bij race conditions niet mogelijk is om eigen programmacode uit te laten voeren[72]. Race conditions kunnen door de ontwikkelaar worden voorkomen door het gebruik van descriptor-karakteristieken, maar dit is een eerder complexere aangelegenheid[73].

 

1.1.3. Format string exploits

 

Zo goed als alle programma’s en applicaties werken met het principe van interactiviteit : de gebruiker geeft een input (cfr. infra, dit deel, 1.1.4) die het programma zal gebruiken om enkele processen mee uit te voeren, om dan uiteindelijk een output terug te geven aan de gebruiker. De input kan bijvoorbeeld een naam zijn, een wachtwoord, cijfergegevens of een stuk tekst. Wanneer je als gebruiker enige kennis hebt van het programma en zijn achterliggende code, dan is het mogelijk om de bewerkingen die met deze input worden gemaakt te misbruiken[74].

 

De programmeertaal C gebruikt format parameters zoals %s om te werken met strings (een reeks karakters, meestal lettertekens) en %d en %x, voor respectievelijk decimale en hexadecimale waarden[75].

In een eenvoudig programma met volgende instructies :

 

scanf(“%s”, data); // lees data in

printf(data); // geef data weer

 

kan iedere vorm van input (bvb. een naam of een wachtwoord) worden ingegeven en weergegeven in de output (bvb. een website). Bij correct gebruik kan dergelijke code gebruikt worden om bvb. een gebruikersnaam in te lezen en daarna de gebruiker te verwelkomen met zijn eigen naam. Uiteraard dient dit louter als voorbeeld want een applicatie die enkel teruggeeft wat de gebruiker ingeeft, is zo goed als waardeloos.

 

De gebruiker kan echter, wanneer het programma niet over een adequate inputfilter beschikt, in plaats van zijn naam, zélf format parameters gaan invullen. Bvb. “%s %s” in plaats van de string “Gerald”. Deze parameters komen dan in de variabele data terecht, waardoor het programma niet zomaar de inhoud van de variabele zal weergeven, maar de ingegeven instructies ook zal uitvoeren en méér zal vrijgeven dan de programmeur oorspronkelijk bedoelde. Zo kunnen bijvoorbeeld instructies in het procesgeheugen of in de stack worden opgevraagd, die dan weer gebruikt kunnen worden om eigen geschreven programmacode mee te laten uitvoeren[76]. Maar format string exploits kunnen ook worden misbruikt om moedwillig applicaties of servers te laten crashen[77] door bijvoorbeeld buffer overflows te veroorzaken[78].

 

1.1.4. SQL-injections

 

Een variant van format string exploits zijn SQL-injections. SQL is de computertaal die door webservers wordt gebruikt om met databanken te gaan communiceren en gegevens in de databank op te halen, toe te voegen, te wijzigen of te verwijderen. Ook hier is het mogelijk om via extra parameters SQL-queries uit te breiden en zo bvb. online stockvoorraden van bedrijven te veranderen of paswoorden van gebruikers op te vragen.

 

Een voorbeeld : een heel eenvoudige SQL statement die via PHP (een serverside scripting technologie) alle gegevens van een bepaalde gebruiker uit de database opvraagt, is :

 

“SELECT * FROM tblGebruikers WHERE naam = ‘” . $gebruiker . “’;”;

 

De gebruiker geeft zijn naam in (“Gerald”) en deze komt in de PHP-variabele “$gebruiker” terecht. PHP verwerkt vervolgens deze variabele in de SQL-instructie waardoor deze er als volgt zal uitzien :

 

“SELECT * FROM tblGebruikers WHERE naam = ‘Gerald’;”;

 

De SQL-instructie zal nu alle informatie (de wildcard “*” uit de instructie) uit de tabel “tblGebruikers” halen waar de kolom “naam” gelijk is aan de inhoud van de variabele “$gebruiker” (dus zijnde “Gerald”). De output van deze instructie zal de weergave zijn van alle informatie (records) uit de databank waarin de naam “Gerald” voorkomt.

 

Wanneer de gebruiker echter kwade intenties heeft, kan hij in plaats van zijn naam “Gerald”, de volgende string opgeven : “Hugo’; DROP TABLE tblGebruikers; SELECT * FROM tblPaswoorden WHERE naam LIKE ‘%”.

Het gevolg is dat, wanneer deze string door PHP in de SQL-instructie wordt gebracht (dus wanneer de variabele “$gebruiker” vervangen wordt door de ingevoerde string) de uiteindelijke SQL-instructie er als volgt zal uitzien :

 

“SELECT * FROM tblGebruikers WHERE naam = ‘Hugo’; DROP TABLE tblGebruikers; SELECT * FROM tblPaswoorden WHERE naam LIKE ‘%’;”;

 

Er is geen kennis van SQL vereist om in te zien dat de oorspronkelijke instructie grondig werd uitgebreid. Waar de oorspronkelijke instructie enkel alle gegevens opzocht van de ingevoerde gebruikersnaam, zal de applicatie nu eerst alle gegevens van de gebruiker “Hugo” weergeven, vervolgens de tabel “tblGebruikers” volledig verwijderen, om uiteindelijk alle paswoorden uit de tabel “tblPaswoorden” weer te geven. Het behoeft geen verdere uitleg dat, met enige creativiteit, systemen en applicaties op deze manier grondig kunnen worden gemanipuleerd en ontregeld.

 

Net zoals in het geval van de buffer overflows zijn format string exploits en SQL-injections relatief eenvoudig te verhinderen door gebruik te maken van inputfilters. Dit zijn functies die eerst de inhoud van de input zullen nagaan vooraleer ze wordt toegepast en verwerkt. Zo kan bvb. bij een programma dat een rekenmachine simuleert gecontroleerd worden of de input wel uit decimale getallen bestaat. Of bij de ingave van een entry in een online gastenboek of de input geen HTML-tags bevat. Ondanks het feit dat deze inputfilters vrij eenvoudig aan te maken zijn, kan de programmeur onmogelijk alle foutieve inputs voorzien en is het dus niet mogelijk om een 100% veilige applicatie te ontwikkelen. Overigens gelden ook hier alle opmerkingen die werden gemaakt bij de boundary checker in het stuk over de buffer overflow (cfr. supra, dit deel, 1.1.1).

 

1.2. Commerciële druk op de softwareontwikkeling

 

De bugs uit het vorige hoofdstuk maken een aanzienlijk deel van de cybercriminaliteit mogelijk[79]. Hoewel ze reeds jarenlang gekend zijn[80] en grotendeels voorkomen kunnen worden door de ontwikkelaar, worden tot op heden nog steeds dezelfde bugs ontdekt[81] en misbruikt.

 

De oorzaak hiervan laat zich makkelijk raden. Programmeren is een menselijke zaak en dus de facto inherent aan vergissingen en fouten. Hoe complexer de programmacode, hoe groter de kans dat de ontwikkelaar zaken over het hoofd zal zien. Wanneer je dan nog, zoals meestal wel het geval is, in een team van verschillende programmeurs moet samenwerken, wordt het moeilijk om het totaaloverzicht te bewaren en fouten te voorkomen.

 

De menselijke geest is ook bijzonder inventief en voor iedere nieuwe beveiligingstechniek wordt wel een manier gevonden om ze te omzeilen. Als programmeur kan je niet altijd álle situaties voorzien of juist inschatten. Daarbij mag men ook niet vergeten dat tegenover dat team van ontwikkelaars dat een applicatie schrijft en in de omloop brengt, dikwijls duizenden even goede of zelfs betere programmeurs van over de hele wereld staan, die het product onder handen nemen en fouten gaan opsporen om ze dan eventueel te gaan misbruiken[82].

 

Menselijke fouten zijn dus al een eerste oorzaak van onveilige software. Maar ook al zou het theoretisch gezien mogelijk zijn om 100% veilige software te schrijven[83] en hiermee de speciale informaticacriminaliteit (in de strafwetgeving de criminaliteit die computersystemen gebruikt als doel en niet als middel, cfr. infra, deel 4, 1.1) te elimineren, toch gooit de commerciële druk op softwareontwikkelaars roet in het eten[84].

 

1.2.1. Ontwikkeltijd, kostprijs en features : veilige software vs onveilige software

 

Wil een ontwikkelaar veilige software produceren, dan zal hij rekening moeten houden met het feit dat de tijd om veilige software te ontwikkelen veel hoger zal liggen dan de tijd die nodig is om software te ontwikkelen waarbij geen maximale aandacht wordt besteed aan het elimineren van kwetsbaarheden. Dit is logisch, gezien het grondig plannen en voorkomen van fouten, evenals het uitgebreid testen en opsporen van bugs heel wat tijd vergt. Het product zal bijgevolg op een later tijdstip op de markt komen, wat in het voordeel kan spelen van concurrentie die het niet zo nauw neemt met softwareveiligheid.

 

Door deze langere productietijd komt ook de kostprijs om de software te produceren hoger te liggen. Wil de producent enige winst maken, dan zal hij de verkoopprijs van het eindproduct verhogen, wat hem opnieuw in een zwakkere positie stelt tegenover de concurrentie.

 

Verder heeft de langere ontwikkeling van veilige software ook gevolgen voor het aantal features dat het eindproduct uiteindelijk zal bevatten. Features zijn extra mogelijkheden van een softwareprogramma die de applicatie toegankelijker en gebruiksvriendelijker maken. Deze features zorgen echter voor een complexere programmacode, wat leidt tot meer mogelijkheden tot misbruik[85]. Een veilige softwareapplicatie zal dus steeds een minimum aan features bevatten. Dit is echter in strijd met de wetten van de softwaremarkt waar geldt dat meer features de applicatie net aantrekkelijker maken[86]. Ook op dit punt heeft onveilige software commercieel gezien een voorsprong.

 

Het zijn deze drie elementen (ontwikkeltijd, kostprijs en features) die steeds zullen meespelen bij de productie van nieuwe software en de aanleiding vormen voor onveilige software.

 

1.2.2. Het software standaardisatieproces

 

In dit deel spitsen we ons toe op (internetgerelateerde) softwarestandaarden. Omdat het net deze applicaties zijn die door het grootste aantal mensen worden gebruikt, zijn ze dan ook het aantrekkelijkst voor cybercriminelen. Dit heeft uiteraard tot gevolg dat kwetsbaarheden bij softwarestandaarden op meer aandacht kunnen rekenen dan veiligheidslekken bij ongekende applicaties.

 

De markt voor gestandaardiseerde netwerksoftware heeft, in het kader van veiligheid, enkele zwakke punten en deze kunnen als volgt worden samengevat[87] :

 

 

1.2.2.1. Standaardisatie

 

Standaardisatie is het proces waarbij een nieuwe standaard wordt gevestigd. Eens de standaard er is, volgen verschillende producenten dezelfde specificaties om bijvoorbeeld de compatibiliteit tussen hun verschillende producten te verhogen, of omdat het via wetgeving wordt opgelegd.

 

Er zijn 2 soorten standaarden op te sommen : de open standaard en de gesloten standaard.

Een open standaard houdt in dat de specificaties van een product openlijk te verkrijgen zijn en iedereen de standaard mag gebruiken. Dit heeft als grote voordeel dat ontwikkelaars producten kunnen ontwerpen die compatibel zijn met elkaar, gezien ze gebaseerd zijn op dezelfde standaard. Zo kunnen verschillende computersystemen van verschillende producenten toch met elkaar communiceren over het internet omdat ze de IP-standaard[88] volgen[89]. De browsers Microsoft Internet Explorer en Mozilla Firefox kunnen beiden gebruikt worden om websites te openen, omdat ze beiden de HTML-standaard gebruiken. Databases zoals Microsoft Access en Oracle kunnen onderling met elkaar communiceren en gegevens uitwisselen omdat ze de SQL-standaard ondersteunen. Andere internetgerelateerde open standaarden zijn bijvoorbeeld TCP, XHTML en PDF.

Er moet echter nog worden aangehaald dat niet iedere ontwikkelaar een bepaalde standaard even ver volgt. Daarnaast kunnen ze ook verdere uitbreidingen voorzien die niet standaard zijn. Hierdoor is het mogelijk dat er tussen twee systemen die eenzelfde standaard volgen, toch nog verschillen en incompatibiliteit optreden.

 

Een gesloten standaard komt op hetzelfde neer maar met dit verschil dat de specificaties niet zomaar worden vrijgegeven en de standaard niet zomaar mag worden gebruikt. De standaard wordt in dit geval beschermd door patenten, auteursrechten, handelsmerken en handelsgeheimen. Wanneer men er gebruik wil van maken, dan moet men eerst een licentie aankopen.

 

1.2.2.2. Zwakheden in de softwaremarkt tijdens het software standaardisatieproces

 

Tijdens het standaardisatieproces heeft de softwareontwikkelaar weinig oog voor de veiligheid van zijn product[90]. Dit is vrij eenvoudig te verklaren. In de strijd om de nieuwe standaard te leveren, zal de softwareontwikkelaar alle aandacht vestigen op de te leveren concurrentieslag. Om deze te winnen dient hij als eerste zijn product op de markt te brengen aan een zo laag mogelijke prijs en met een zo groot mogelijk aantal features[91]. (cfr. supra, dit deel, 1.2.1). Wanneer hij investeert in deze drie zichtbare elementen (tijd, kostprijs en features), kan hij de klant overtuigen om zijn product te kiezen. De veiligheid van software is echter een onzichtbaar gegeven en kan de klant slechts in weinige mate beïnvloeden. Bijgevolg zal de producent er tijdens het standaardisatieproces maar weinig belang aan hechten omdat het een investering is die hem geen enkele garantie biedt om de nieuwe standaarddrager te worden.

 

Net zoals bij auto’s is veiligheid bij software een intern en technisch gegeven. Het is eigen aan de programmacode van de applicatie en schuilt dus in zekere zin “onder de motorkap” van het softwareproduct. Potentiële kopers/gebruikers hebben er geen zicht op. Enerzijds omwille van de complexiteit van de code en hun gebrek aan kennis. Anderzijds omdat bij gesloten standaarden de code wordt beschermd door de eerder vernoemde patenten, auteursrechten, handelsmerken en handelsgeheimen en de producent de programmacode dus niet zomaar zal vrijgeven. Daarom zullen gebruikers enkel kunnen voortgaan op wat de producent beweert en zullen zij dus bij de aankoop van het product geen rekening kunnen houden met de werkelijke veiligheid van het product.

 

Lemons equilibrium

De vergelijking kan gemaakt worden met George Akerlofs lemons equilibrium. Akerlof, Nobelprijswinnaar economie in 2001, beschreef in 1970 hoe markten kunnen beïnvloed worden - en uiteindelijk zelfs kunnen verdwijnen - door kwaliteitsverschillen en asymmetrische informatie[92]. Heel algemeen beschouwd komt een lemons equilibrium voor wanneer een bepaalde eigenschap, bijvoorbeeld de prijs, is geweten, maar de potentiële koper geen (duidelijk) zicht heeft op meer kwalitatieve eigenschappen (zoals bijvoorbeeld de veiligheid). Wanneer een producent lage-kwaliteitsgoederen kan produceren die niet te onderscheiden zijn van hoge-kwaliteitsgoederen, dan is het als producent van de hoge-kwaliteitsgoederen haast onmogelijk om op de markt te gaan concurreren. Namelijk, als de potentiële koper moet kiezen tussen twee schijnbaar gelijkaardige producten, maar van een verschillende prijsklasse, dan zal hij voor het goedkoopste product kiezen.

 

Dit fenomeen doet zich ook voor op de softwaremarkt. Als een ontwikkelaar moet investeren in veilige software, dan zal hij met een duurder product moeten uitpakken, wil hij enige winst overhouden. Zijn concurrent, die een gelijkaardig product op de markt brengt maar minder belang hechtte aan veiligheid, zal een lagere prijs kunnen vragen.

Als gebruiker is het bij gesloten standaarden niet mogelijk een onderscheid te maken tussen beide producten op kwalitatief niveau. Hierbij komt nog dat, ondanks zijn hogere investering, producent A ook niet kan garanderen dat zijn applicatie vólledig bugvrij is. Fouten maken is nu eenmaal menselijk en niet alle situaties kunnen op voorhand ingecalculeerd worden.

 

Veiligheidslekken komen echter gauw genoeg boven water eens het product een succes wordt.

Het spreekt voor zich dat ongekende software die maar door een kleine groep mensen wordt gebruikt, geen interessant doelwit vormt voor een hacker; ook al bevat die applicatie honderden bugs. Cybercriminelen zullen eerder hun pijlen richten op de kwetsbaarheden van grote softwarenamen. Het is daarom niet verwonderlijk dat bijna alle malware ontworpen is om op de besturingssystemen van Microsoft Windows te functioneren[93]. De reden hiervoor dient men dus niet te zoeken in de veronderstelling dat de producten van Microsoft meer bugs zouden bevatten dan de software van enig ander ontwikkelteam. Dit is een graag gehoorde gedachte bij Microsoft-tegenstanders, maar dient toch gerelativeerd te worden. Het is simpelweg zo dat het wijdverspreide succes en de monopolievorming van de Windows besturingssystemen de grootste groep potentiële slachtoffers creëert voor cybercriminelen. Bijgevolg zullen de Microsoft producten ook de meeste aanvallen te verwerken krijgen, waaruit logischerwijs volgt dat bij hen ook de meeste veiligheidslekken worden ontdekt.

Deze gedachtelijn doortrekkende kunnen we heel algemeen stellen dat alle softwareontwikkelaars min of meer op een zelfde niveau inherent zijn aan dezelfde commerciële druk en hun producten bijgevolg dezelfde tekortkomingen inzake veiligheid vertonen. Enkel de producten die aanslaan en door het grote publiek in gebruik worden genomen, zijn onderhevig aan cybercriminaliteit. Het zijn dan ook deze producten die van betekenis zullen zijn in dit kader van onveiligheid op het internet.

 

1.2.2.3. Zwakheden in de softwaremarkt na het software standaardisatieproces.

 

Wanneer een product een commercieel succes werd en de nieuwe standaard is geworden, bevinden we ons reeds ná het standaardisatieproces. De software is geschreven, het product werd op de markt gebracht en de ontwikkelaar heeft zijn voornaamste doel bereikt : de nieuwe standaarddrager worden.

 

 

Omdat de software door een grote groep gebruikers wordt aangenomen en gebruikt, werkt dit aantrekkelijk voor cybercriminelen. Zij zien hier hun grootste groep potentiële slachtoffers en dus ook de grootste kans op slagen. Wanneer de ontwikkelaar tijdens het standaardisatieproces weinig investeerde in veiligheid, zullen cybercriminelen deze kwetsbaarheden kunnen misbruiken, met als gevolg het bekend raken van verschillende veiligheidslekken binnen de software.

Pas nu zal de ontwikkelaar tijd vrij hebben om zich te concentreren op de veiligheid van zijn product[94], want uiteraard kan hij de kritiek op de ontdekte veiligheidslekken niet zomaar negeren.

 

De vraag kan gesteld worden of de ontwikkelaar dan niet beter op voorhand meer tijd en inspanning had gestopt in het vermijden van de veiligheidslekken en zich zodoende de moeite had bespaard om achteraf de gaten niet te moeten dichten. Vanuit commercieel oogpunt gezien is het antwoord hierop negatief. De kosten die gepaard gaan met het herstel van de veiligheidshiaten wegen immers niet op tegen de risico’s om de standaardcompetitie te verliezen[95]. Als de ontwikkelaar tijd en geld investeert in het maken van veilige software, maar deze inspanningen er net voor zorgen dat zijn product niet wordt afgenomen op de markt, dan hebben zijn investeringen niets opgeleverd. Het is wel degelijk een bewuste keuze van de ontwikkelaar om de ontwikkeltijd en de verkoopprijs zo laag mogelijk te houden om toch maar mee te kunnen strijden in de standaardcompetitie, ook al weet hij dat de applicatie nog bol staat van de bugs[96].

 

Nadat de software zijn weg vond naar het grote publiek, komen de interne kwetsbaarheden van de applicatie boven water. Wanneer deze veiligheidslekken te veelvuldig aanwezig zijn en te ernstig van aard, zal de kritiek van de gebruikers de ontwikkelaar dwingen om zijn software aan te passen en de onveiligheden eruit weg te werken. Negeert hij de vraag naar veilige software, dan stappen de gebruikers over naar alternatieve software en verliest hij zijn standaard.

 

Upgrades

Alle ontdekte kwetsbaarheden in één keer wegwerken is echter een kostelijke, tijdrovende en quasi onmogelijke zaak. De originele programmeurs die de software schreven zijn ondertussen overgeschakeld op andere projecten en de herinneringen aan welk stuk code wat doet zijn reeds lang vervlogen. Met wat geluk is de programmacode geannoteerd, maar de kans is groot dat, omwille van de tijdsdruk waarin het programma werd geschreven, deze annotaties niet veel meer zijn dan enkele korte, beknopte opmerkingen. Het zou de programmeurs aldus heel wat tijd kosten om terug de logica van het programma herop te bouwen.

Daarnaast zit de kans er ook dik in dat, wanneer de software helemaal moet worden herschreven aan de hand van enkele vage herinneringen, de applicatie niet meer zal functioneren zoals oorspronkelijk.

 

Vanuit dit oogpunt was het dan misschien tóch interessanter geweest voor de ontwikkelaar om tijdens, en niet na, het standaardisatieproces in veiligheid te investeren. Op dit probleem heeft de softwareontwikkelaar echter voor zichzelf een commercieel zeer interessante oplossing gevonden. Liever dan alle kwetsbaarheden in één keer weg te werken, zal de producent om de zoveel tijd uitpakken met nieuwere versies van zijn applicatie (updates en upgrades) waarin hij enkele bekende veiligheidslekken wegwerkt en een aantal nieuwe features toevoegt om de upgrade aantrekkelijker te maken voor het publiek[97].

 

Het voordeel hiervan is tweeledig. Enerzijds dient de ontwikkelaar enkel de veiligheidslekken te dichten die ontdekt werden. Zolang andere veiligheidslekken niet gekend zijn, zijn ze vooralsnog onbestaande en vormen ze uiteraard ook geen punt van kritiek. Deze manier van werken is dan ook stukken goedkoper dan het volledige herschrijven en bugvrij maken van de applicatie.

 

Anderzijds biedt het systeem van updates en upgrades een oplossing om inkomsten te blijven behalen voor hetzelfde product en tevens de leiderspositie op de markt te behouden. Softwareontwikkelaars hebben te kampen met een zeer veranderlijk verkoopscijfer[98]. Eenmaal het softwareproduct op de markt werd gebracht, hoeven de gebruikers het product slechts één keer aan te schaffen om er jarenlang gebruik van te kunnen maken. De producent dient dan ook zijn winst te halen uit de grootte van de groep gebruikers die het product aankopen en niet uit hun veelvuldige gebruik ervan. Nadat het product op de markt kwam, kunnen nieuwe opbrengsten enkel voortkomen uit de verkoop van hetzelfde product, maar met de toevoeging van features. Als voorbeeld nemen we een tekstverwerker zoals Microsoft Word. Anno 2006 heeft deze tekstverwerker nog steeds dezelfde basisfuncties als zijn voorganger uit het Windows 3.11-tijdperk. De toevoeging van verschillende features, zoals bijvoorbeeld de spelling- en grammaticacontrole of de mogelijkheid om online samen te werken, veraangenamen dan wel het gebruik, toch verschillen beide versies in wezen niet veel van elkaar.

 

Alleen, niet alle gebruikers zijn geïnteresseerd in de nieuwe features. Een groep gebruikers zal blijven vasthouden aan de oudere versies van de applicatie, tot groot ongenoegen van de producent die hieraan een bron van inkomsten verloren ziet gaan. Om ook deze gebruikers te dwingen de upgrades aan te schaffen, wordt veiligheid één van de toegevoegde features[99]. Willen deze gebruikers zichzelf beschermen tegen de aanvallen van cybercriminelen en de applicatie blijven gebruiken, dan moeten ze wel de nieuwe upgrade aanschaffen.

 

Uiteraard blijft ook de concurrentie niet stilzitten en zal zij pogingen ondernemen om de standaarddrager van zijn troon te stoten. Zij kunnen dit doen door gelijkaardige software op de markt te brengen, maar met de toevoeging van meer mogelijkheden. Ook omwille van deze reden zal de standaarddrager steeds met nieuwe upgrades uitpakken zodat de nodige features aan zijn product worden toegevoegd, opdat hij de software van de concurrentie kan bijbenen[100].

 

1.2.2.4. Het bestraffen van de softwareontwikkelaar door de gebruiker

 

Uit het voorgaande bleek dat de softwareontwikkelaar omwille van het lemons equilibrium ervoor zal kiezen om niet op voorhand in veiligheid te investeren, maar pas na afloop van het standaardisatieproces. Dan pas is hij zeker dat zijn product hem winst zal opleveren en is hij bereid in veiligheid te investeren. Dit doet hij echter niet door alle onveiligheden in één keer weg te werken, maar door het regelmatig uitbrengen van upgrades, die hem een verdere bron van inkomsten verzekeren.

 

Uiteraard is dit ten nadele van de gebruiker. Enerzijds wordt hij met onveilige software opgescheept, waardoor de gebruiker wordt blootgesteld aan cybercriminaliteit. Anderzijds dient hij ook nog om de zoveel tijd te betalen voor veiligheid die reeds bij de aanschaf van het product in de software aanwezig diende te zijn. Een goede methode om als gebruiker de producent voor deze commerciële uitbuiting te straffen is overstappen naar een concurrerend product.

 

Open standaarden

Bij open standaarden is dit niet zo moeilijk. Omdat de software niet beschermd wordt door auteursrechten of patenten zijn er alternatieven genoeg. Wanneer je als gebruiker van de browser Internet Explorer niet tevreden bent, kun je opteren voor browsers zoals Firefox, Opera, Netscape of K-meleon. Hoewel Microsofts Internet Explorer nog steeds de marktleider is in browsersoftware, blijkt uit verschillende onderzoeken dat meer mensen de laatste jaren de overstap maken naar een alternatieve browser[101]. Voor de e-mailcliënt Outlook Express geldt dan weer bijvoorbeeld Mozilla Thunderbird als alternatief.

 

Gesloten standaarden

Bij gesloten standaarden ligt dat wat anders. Hier heb je 3 factoren nodig die min of meer gelijktijdig samen moeten voorkomen om de overstap te maken[102] :

1) een kritieke massa van ontevreden gebruikers

2) één of meerdere alternatieven

3) een proces waarin de ontevreden gebruikers de overstap maken en een nieuwe standaard zetten

 

Bij gesloten standaarden hebben we namelijk vaak te maken met een lock-in. Dit wil zeggen dat gebruikers zodanig afhankelijk geworden zijn van een bepaalde ontwikkelaar van producten en/of diensten dat ze niet zomaar kunnen overschakelen naar een alternatief zonder daarvoor in een zekere mate financiële of andere kosten te maken. Nemen we opnieuw als voorbeeld het besturingssysteem Microsoft Windows. Zo goed als alle aanvallen zijn gericht op dit systeem[103]. Een goede oplossing voor een ontevreden gebruiker is over te schakelen naar het open source besturingssysteem Linux. Zolang Linux niet een bepaalde graad van populariteit behaalt, zal de gebruiker weinig last ondervinden van malware zoals worms en trojans. Om de overstap te maken dient hij wel enkele barrières te overbruggen. Vooreerst is er de financiële kost : de gebruiker zal het Linux-pakket moeten aankopen. Linux zelf is dan wel gratis, toch betaal je eventueel de installatiekosten. Dit is echter voor de meeste gebruikers de minst moeilijke hindernis om te nemen.

Minder evident zal het voor de gebruiker zijn om genoeg tijd en moeite te investeren in de aanlering van de verschillende commando’s en mogelijkheden van het nieuwe besturingssysteem.

Wat wellicht de meeste gebruikers zal tegenhouden om de overstap te maken van Windows naar Linux is de wetenschap dat heel veel software enkel voor het Windows-besturingssysteem wordt geschreven. Met de stijgende populariteit van Linux houden de grotere softwarebedrijven tegenwoordig wel rekening met andere besturingssystemen, maar toch bestaat de kans er steeds in dat de producten van softwareontwikkelaars in beperkte mate, of zelfs helemaal niet, functioneren op andere besturingssystemen. De gebruiker zal moeten aanvaarden dat hij voor heel wat applicaties die hij gewend was te gebruiken, alternatieven zal moeten zoeken die speciaal voor dit bepaalde besturingssysteem werden geschreven. Ook voor deze alternatieven geldt dat de gebruiker tijd en moeite zal moeten investeren om de werking van deze applicaties aan te leren.

 

Bij de overstap naar alternatieve software of besturingssystemen, en dus het doorbreken van de lock-in, zal de gebruiker een kosten-batenanalyse maken. Zolang de kosten (de hindernissen bij de overstap) doorwegen op de baten (veiligere software), zal de gebruiker onderhevig blijven aan het lock-in effect en bij de vertrouwde, onveilige software blijven.

 

Het gebruik van de computer in de huiskamer is een relatief recent fenomeen. Momenteel bestaat er dan ook nog een grote groep van oudere gebruikers (hoewel steeds minder) die niet vertrouwd zijn met de technologische werking en mogelijkheden van de pc. Mede omwille van de kosten die de aanschaf en de eventuele herstellingen van de thuiscomputer met zich meebrengen, klampen zij zich dan ook angstvallig vast aan de vertrouwde commando’s in een al even vertrouwde softwareomgeving. Zelden tasten zij de grenzen af van de mogelijkheden die de thuiscomputer hen biedt. Deze groep van gebruikers zal dan ook niet gauw geneigd zijn alternatieve software uit te proberen.

 

Daarbij komt nog dat gebruikers zelden de baten zullen inzien. Dit komt in het volgende hoofdstuk aan bod, waarin de lage bewustzijnsgraad van gebruikers wordt besproken.

Voor deze gebruikers wegen de kosten te zwaar door op de baten om de overstap te maken.

 

Dit lock-in effect kan leiden tot monopolievorming, hoewel zij eerder beperkt en tijdelijk van aard is[104] : de softwareontwikkelaar kan niet iedere prijs vragen die hij wil en kan ook de kritiek op zijn  onveilige software niet zomaar negeren. Wanneer hij een te hoge prijs vraagt, of de kwetsbaarheden in zijn software te veelvuldig en te ernstig zijn, dan zullen de baten om de overstap te maken uiteindelijk hoger komen te liggen dan de kosten. Wanneer dit gebeurt, zal de overstap wel degelijk worden gemaakt door een groot aantal gebruikers, waardoor de producent zijn monopoliepositie en tevens zijn standaard verliest.

 

1.3. Conclusie

 

In dit hoofdstuk hebben we onveilige software als een eerste oorzaak van onveiligheid op het internet aangehaald.

 

Dit hoofdstuk begon met een voorstelling van de meest voorkomende fouten en misbruiken. Zowel buffer overflows, race conditions, format string exploits en SQL-injections passeerden de revue. We zagen dat het door de aanwezigheid van deze bugs voor cybercriminelen mogelijk wordt om software te misbruiken.

 

In een volgend punt haalden we aan dat deze bugs niet alleen per vergissing, uit onkunde of uit onvoorzienigheid in de software terecht komen, maar dat ook de commerciële druk die ontwikkelaars ervaren, een hand heeft in de ontwikkeling van onveilige software. We beschreven het lemons equilibrium dat ervoor zorgt dat softwareontwikkelaars in hun strijd om de nieuwe standaarddrager te worden, tijdens de productie van nieuwe software enkel rekening houden met de ontwikkeltijd, de kostprijs en het aantal features en geen of slechts in beperkte mate investeren in veiligheid.

 

Vervolgens zagen we dat de tekortkomingen van de softwareontwikkelaar pas boven water komen nadat het product werd uitgebracht en de nieuwe standaard werd. Om hieraan tegemoet te komen, beschreven we hoe softwareontwikkelaars om de zoveel tijd upgrades uitbrengen, waarin enkel de ontdekte kwetsbaarheden worden weggewerkt. Deze upgrades zijn dan ook vooral voor de ontwikkelaar interessant omdat hij op deze manier verdere inkomsten kan blijven behalen uit de geleverde software.

 

Tenslotte haalden we het lock-in effect aan dat het moeilijk maakt voor de gebruiker om over te stappen naar alternatieve software en zo de ontwikkelaar te straffen omwille van deze commerciële uitbuiting.

 

 

2. Ontbreken van een internationaal juridisch kader

 

Een tweede oorzaak die leidt tot onveiligheid op het internet is het ontbreken van een vlot functionerend, internationaal juridisch kader dat opsporing van cybercriminaliteit mogelijk maakt en waarin publiek-private samenwerking wordt gereguleerd[105]. Momenteel bestaat er op internationaal niveau nog geen wetgeving die een vlotte samenwerking tussen de gerechtelijke overheden van verschillende landen garandeert. Evenmin wordt een samenwerking tussen de publieke en de private beveiligingssector gereguleerd.

 

Dit hoofdstuk bespreekt kort het Cybercrime verdrag van de Raad van Europa en haalt tevens enkele beperkingen aan. Omdat het ontbreken van een internationaal juridisch kader zich vooral situeert binnen de repressieve aanpak van cybercriminaliteit en eerder onrechtstreeks een oorzaak is van onveiligheid op het internet (de moeilijkheden om cybercriminaliteit aan te pakken, vereenvoudigen de mogelijkheid om cybercriminaliteit te plegen), wordt dit hoofdstuk uitgebreider uitwerkt in deel 4, 1.

 

2.1. Cybercrime verdrag van de Raad van Europa

 

Internet en cybercriminaliteit zijn internationale fenomenen. Ze houden zich niet aan landsgrenzen en vanuit dat oogpunt is het dan ook belangrijk om de problematiek op een internationaal niveau aan te pakken. Het belangrijkste initiatief op dit gebied situeert zich echter op Europees niveau en dit is het Cybercrime verdrag van de Raad van Europa[106].

 

Dit verdrag werd op 23 november 2001 door 26 lidstaten van de Raad van Europa ondertekend in Boedapest. Begin januari 2006 hadden reeds 42 staten, waaronder België, het verdrag ondertekend[107]. Slechts 13 staten hadden het verdrag op dat moment ook reeds geratificeerd[108]. België behoort voorlopig nog niet tot deze lijst, ondanks het feit dat heel wat aanbevelingen van het verdrag reeds werden overgenomen in de Belgische strafwetgeving en het strafprocesrecht.

 

Het Cybercrime verdrag heeft als doelstelling een vlotte internationale samenwerking te bekomen bij de bestrijding van cybercriminaliteit. Zij wil dit bereiken door in alle Europese landen een gelijkaardige wetgeving te laten uitvaardigen die toelaat om zowel specifieke (computer als doel) als niet-specifieke (computer als middel) informaticacriminaliteit te bestraffen[109]. Verder stelt ze ook nog een gelijkaardige strafprocedure inzake informaticacriminaliteit voor, zodoende dat, naar analogie van huiszoekingen, ook opsporingen in bedrijfsnetwerken mogelijk worden.

 

De internationale samenwerking zelf moet er komen door de overeenkomst van de deelnemende landen om verdachten aan elkaar uit te leveren, zij het onder bepaalde voorwaarden. Ook wordt de afspraak gemaakt dat ieder land een contactpunt inschakelt dat permanent bereikbaar is, zodoende dat informatie heel vlug uitgewisseld kan worden en medewerking onmiddellijk kan worden verleend aan lopende onderzoeken[110].

 

2.2. Beperkingen van het verdrag

 

Het Cybercrime verdrag van de Raad van Europa is zeker en vast een stap in de goede richting, maar de reikwijdte ervan blijft nog te beperkt[111]. Zo ontbreekt het aan een directe werking en is het verdrag daarom enkel van toepassing in de landen die het verdrag ondertekenden en ratificeerden[112]. Omdat slechts 13 staten het verdrag volledig implementeerden in hun wetgeving, verloopt de samenwerking nog steeds niet vlot genoeg[113].

 

Het verdrag is overigens voorlopig ook enkel werkend binnen de Europese Unie. Niet-Europese staten die het verdrag ondertekenden zijn Canada, Japan, Zuid-Afrika en de Verenigde Staten, maar ook zij ratificeerden het verdrag nog niet[114]. Het gevolg hiervan is dat, wanneer men geconfronteerd wordt met aanvallen vanuit een land dat het verdrag niet ondertekende of niet ratificeerde, opsporing en vervolging afhankelijk worden van de goede wil en samenwerking van deze staat.

 

Een ander heikel punt is dat ook publiek-private samenwerking nog niet juridisch wordt geregeld op internationaal niveau[115]. Deze behoefte komt vooral uit de private informatiebeveilingssector, die in opdracht van bedrijven vaak opsporingen dient te verrichten in het buitenland. Hierbij zijn zij vooral aangewezen op de vrijwillige medewerking van de betrokkenen. Deze samenwerking dient er te komen omdat, zoals het er nu voor staat, de publieke sector vooral de bevoegdheden heeft, terwijl de kennis en het materiaal vooral in het kamp van de private sector liggen. Dit wil daarom niet zeggen dat de publieke sector niet over competente personen zou beschikken, maar wil de privé-sector van enige betekenis zijn op de private beveiligingsmarkt, dan dient zij zich, méér dan de publieke sector, voortdurend bij te scholen en ten allen tijde haar apparatuur up-to-date te houden. Beide sectoren zouden elkaar op dit vlak tegemoet moeten kunnen komen en elkaar aanvullen[116].

 

 

Zoals reeds eerder aangegeven ligt dit in het verlengde van het repressieve aanpakken van cybercriminaliteit. Daarom wordt dit hoofdstuk verder uitgewerkt deel 4, 1.

 

 

3. De lage bewustzijnsgraad van gebruikers omtrent veiligheid

 

Een derde oorzaak van onveiligheid op het internet dient men te zoeken in de lage bewustzijnsgraad van gebruikers omtrent veiligheid. Dit hoofdstuk wil aantonen dat gebruikers het belang van veiligheid ernstig onderschatten, waardoor zij niet voldoende maatregelen nemen inzake veiligheid en op die manier cybercriminaliteit mogelijk maken. Binnen dit hoofdstuk wordt eerst aangetoond dat gebruikers eenvoudig te achterhalen wachtwoorden kiezen en hoe hun goedgelovigheid wordt uitgebuit door social engineers. Verder komt de Online Safety Study aan bod die aantoont dat gebruikers niet genoeg maatregelen nemen om hun computersysteem te beveiligen en wordt het belang van veiligheid uit de doeken gedaan.

Dit hoofdstuk wenst het besef te laten groeien dat de verantwoordelijkheid van een veilig internet niet enkel bij softwareontwikkelaars en het optreden van politie en justitie ligt. De verantwoordelijkheid dient worden gezocht bij iedereen die zich verbindt met het internet.

 

3.1. Gebruikers onderschatten het belang van veiligheid op het internet

 

Onveiligheid op het internet vindt niet enkel zijn oorzaak in het draaien van onveilige software[117]. Ook wanneer computersystemen 100% veilige software zouden draaien en beschermd zouden worden door zowel een firewall als antivirus software als antispyware tools[118], biedt dit geen adequate bescherming tegen cybercriminaliteit wanneer een roekeloze gebruiker zomaar zijn persoonlijke gegevens op het internet plaatst of onzorgvuldig omgaat met het openen van e-mails en andere internettoepassingen. De mens is nog steeds de belangrijkste, en tevens zwakste, schakel wanneer het gaat om een veilig internet[119].

 

3.1.1. Wachtwoorden

 

Om gebruikers de toegang te verlenen tot beveiligde informatie (zoals bvb. e-mail, een bankrekening, een bedrijfsnetwerk, medische gegevens, ...), dienen zij hun identiteit te authentificeren. Op het internet gebeurt deze authentificatie over het algemeen door de ingave van een wachtwoord, waarbij men er van uit gaat dat enkel de rechtmatige gebruiker het wachtwoord kent[120].

 

Uit onderzoek van Yan, Blackwell, Anderson en Grand[121] (2004) blijkt dat gebruikers vaak eenvoudige paswoorden kiezen, uit angst om ze te vergeten. De moeilijkheid van een gekozen paswoord is dan ook afhankelijk van de kracht van het menselijke geheugen. Stel dat men het wachtwoord niet zou hoeven te onthouden, dan was een veilig paswoord een maximum aan karakters, waarbij zowel letters, cijfers als speciale karakters volstrekt willekeurig in een al even willekeurige volgorde worden geplaatst. Uiteraard is de mens er niet toe in staat om een dergelijk wachtwoord te memoriseren. De menselijke geest onthoudt gemiddeld slechts sequenties van ongeveer 7 items, waarbij de items op zich best refereren naar woorden waaraan een persoonlijke betekenis kan gekoppeld worden[122].

 

Hoe complexer, langer en willekeuriger het paswoord, hoe veiliger het is, maar eveneens moeilijker te onthouden. Vanuit dit gegeven stellen de onderzoekers dan ook vast dat gebruikers niet in staat zijn om uit zichzelf een adequaat, veilig paswoord te kiezen. Wanneer zij niet worden geadviseerd, kiezen zij dan ook eenvoudig te raden woorden die terug te vinden zijn in het woordenboek, of gebruiken ze eigennamen. Wanneer hen wordt aangeraden om lettertekens met cijfertekens te combineren, dan gebruiken zij eveneens makkelijke wachtwoorden zoals “Hanne87”. “Hanne” slaat dan bijvoorbeeld op de naam van de partner, “87” op het geboortejaar.

 

Verder blijkt dat gebruikers zelden hun gekozen wachtwoord veranderen[123]. Wanneer zij hiertoe worden verplicht en het systeem verhindert hen hun oude paswoord te kiezen, dan zullen gebruikers vaak hun wachtwoord meerdere malen wijzigen zodat ze het systeem om de tuin kunnen leiden en toch hun oude paswoord opnieuw kunnen gebruiken.

 

Willekeurige paswoorden zijn de veiligste en vaak enkel te kraken met behulp van een brute force attack (alle karaktercombinaties worden uitgeprobeerd). Gebruikers hebben echter moeite dergelijke wachtwoorden te onthouden. De onderzoekers stellen dan ook voor om als gebruiker een schijnbaar willekeurig paswoord te kiezen, maar dat eigenlijk wordt samengesteld met behulp van ezelbruggetjes. Zoals bijvoorbeeld : “Mijn zus Ann is 25 jaar oud”. Dit resulteert in het wachtwoord : “MzAi25jo”. Uit het onderzoek blijkt dat deze mnemonische paswoorden even moeilijk te achterhalen zijn als volstrekt willekeurige. Hierbij is de lengte van het paswoord wel degelijk van belang. Hoe meer karakters het wachtwoord bevat, hoe groter het aantal combinatiemogelijkheden, ergo, hoe moeilijker het paswoord te achterhalen is. Hierbij is het ook heel belangrijk zowel letters, cijfers als speciale karakters te combineren. Dit vergroot opnieuw het aantal mogelijkheden.

 

Eén van de belangrijkste conclusies uit het onderzoek is dat gebruikers wel degelijk kan aangeleerd worden een veilig paswoord te kiezen, als ze maar genoeg en duidelijk advies krijgen hoe het wachtwoord samen te stellen. De meeste websites en applicaties houden het echter bij het standaardadvies “gebruik een wachtwoord met minimum 8 karakters, waarvan minstens 2 cijfertekens”, wat leidt tot eenvoudige wachtwoorden zoals “Hanne87”.

Sensibilisering van de gebruikers speelt hierin dus een belangrijke rol.

 

3.1.2. Social engineering

 

Om wachtwoorden te achterhalen kunnen cybercriminelen gebruik maken van software zoals password breakers. Deze tools achterhalen paswoorden via dictionary attacks (overlopen van alle woorden uit het woordenboek; gaat heel snel) of brute force attacks (alle karaktercombinaties worden uitgeprobeerd; gaat traag, maar heeft een grotere slaagkans).

 

Cybercriminelen zijn echter ook bedreven in het achterhalen van wachtwoorden en het verkrijgen van toegang tot systemen en netwerken, door het uitbuiten van de menselijke naïviteit en nieuwsgierigheid[124]. Deze niet-technologische techniek heet social engineering en vereist charisma, geduld, vastberadenheid en overtuigingskracht[125].

 

Een eenvoudige vorm van social engineering is bijvoorbeeld het opbellen van de helpdesk van een groot bedrijf, zichzelf voorstellen als een werknemer door een veelvoorkomende naam zoals “Janssens” of “Peeters” te gebruiken en het wachtwoord voor het bedrijfsnetwerk vragen.

 

Cybercriminelen kunnen ook zelf gebruikers contacteren, zich voordoen als de technische helpdesk en hun om hun wachtwoord vragen. Dit gebeurt dan ook in de phishing e-mails (cfr. supra, deel 1, 5.8).

 

Social engineering kan heel ingenieus en uitgebreid plaatsvinden en vaak dienen cybercriminelen beetje bij beetje informatie te verzamelen om ergens binnen te raken[126]. Zo kunnen zij bijvoorbeeld eerst enkele dagen spenderen om het aan te vallen bedrijf te bestuderen, zodat zij over basisinformatie beschikken[127]. Door bijvoorbeeld de human resources manager te contacteren, kunnen zij makkelijk de belangrijkste namen binnen het bedrijf te weten komen. Om het bedrijfsgebouw binnen te raken, kunnen zij doen alsof ze hun sleutel of toegangsbadge zijn vergeten. Met wat onhandige verontschuldigingen en een glimlach is er steeds wel iemand te vinden die vriendelijk genoeg is om hen binnen te laten.

Om op het bedrijfsnetwerk zelf te geraken, kunnen zij zich voorstellen als een nieuwe medewerker[128]. Met wat geluk krijgen ze een tijdelijk wachtwoord, of het wachtwoord van een andere werknemer die zijn account laat gebruiken. Eens ze hierover beschikken staat het de delinquenten volledig vrij om spionagesoftware te installeren op de computersystemen[129].

 

Het lijkt uit het scenario van een thriller te komen, maar social engineering komt wel degelijk vrij vaak en succesvol voor[130]. Vooral op het werk zouden gebruikers heel nonchalant omgaan met e-mails, websites, accounts en wachtwoorden[131]. Zij gaan er van uit dat de IT-collega’s alles onder controle hebben en de verantwoordelijkheid voor een veilig netwerk bij hen ligt.

 

3.1.3. Online Safety Study

 

In december 2005 hielden America Online en het National Cyber Security Alliance een grootschalige Online Safety Study[132]. Deze studie werd gevoerd aan de hand van persoonlijke gesprekken met een steekproef van 354 gebruikers, die samengesteld was uit 225 gebruikers met een breedbandconnectie en 129 met een inbelverbinding.  Alle respondenten kwamen uit verschillende Amerikaanse staten en werden willekeurig gekozen door een onafhankelijke marktonderzoekorganisatie. De gebruikers werden ondervraagd over verschillende aspecten inzake online veiligheid, waarbij gepeild werd naar de mate van beveiliging van hun thuiscomputer en hun begrip en bewustzijn omtrent het onderwerp. Vervolgens werden hun computers onderzocht door technici die de firewall instellingen en de geïnstalleerde antivirus en spyware software nagingen, evenals de aanwezigheid van eventuele virus- en andere malware-infecties.

 

Dat heel wat mensen belangrijke informatie op hun thuissystemen bewaren, mag duidelijk zijn. 68% van de gebruikers geeft aan gevoelige informatie, zoals persoonlijke correspondentie, werkgerelateerde bestanden en medische en financiële gegevens, op de thuiscomputer bij te houden. Een iets groter percentage (74%) vermeldt dat zij de pc gebruiken bij bank- en beursverrichtingen en het nalezen van persoonlijke medische fiches.

 

Uiteraard dient dergelijke informatie beschermd te worden tegen online aanvallen. Een grote meerderheid (83%) meent dat zijn of haar pc afdoende beveiligd is tegen cybercriminaliteit.

 

Toch blijkt dat ongeveer datzelfde aantal (81%) niet beschikt over één of meerdere van de drie meest kritische elementen in de beveiliging van de thuiscomputer : recent geüpdate antivirus software, een firewall met de correcte instellingen en software om spyware op te sporen.

Uit het onderzoek bleek dat 56% van alle gebruikers niet beschikte over adequate virusbeveiliging (niet geïnstalleerd of geen recente update), 44% had geen firewall die op een behoorlijke manier was geconfigureerd en bij 38% van de respondenten ontbrak het aan spyware beveiliging. Tenslotte bleek ook nog dat bij de gebruikers met een draadloze verbinding (26%), ongeveer de helft (47%) hun draadloze netwerk niet hadden beveiligd via encryptie. Dit is nochtans een basisvereiste bij het opzetten van een veilige draadloze verbinding[133].

 

Vervolgens gingen de onderzoekers na in hoeverre de pc’s geïnfecteerd waren met malware.

75% van de gebruikers gaf aan op het moment van het onderzoek niet geïnfecteerd te zijn met een virus. Uit de technische analyses achteraf bleek dit ook meestal te kloppen (88% was niet geïnfecteerd). Toch had iets meer dan de helft (55%) ooit wel eens last van een virus op de computer.

Anders is het gesteld met spyware-infecties. Waar 54% van de gebruikers er zeker van waren niet geïnfecteerd te zijn met spyware, bleek 61% van de pc’s ze toch te bevatten. Toen men de geïnfecteerden de resultaten van de technische analyse voorlegde, wist 92% niets af van de aanwezigheid van alle gevonden spyware programma’s, evenmin wat ze deden.

 

Dit opmerkelijke verschil tussen de aanwezigheid van virussen en spyware kan op drie manieren verklaard worden.

Vooreerst kwam reeds aan bod dat het traditionele computervirus begin 21ste eeuw aan “populariteit” heeft moeten inboeten ten koste van andere malware zoals worms en trojan horses (of trojans)[134]. Dit kan verklaren waarom minder pc’s werden geïnfecteerd met virussen dan met spyware.

Ten tweede zijn virussen voor de ontwerper meestal enkel nuttig omwille van hun destructiviteit, gezien ze voornamelijk worden ontworpen uit verveling, experimenteel gedrag en drang naar vandalisme[135]. Spyware daarentegen verzamelt persoonlijke gegevens om te gebruiken bij commerciële (bijvoorbeeld persoonsgerichte reclame) of criminele doeleinden (bijvoorbeeld identity theft) en is dus veel nuttiger voor een grotere groep van mensen[136]. Omdat steeds meer de georganiseerde misdaad haar weg vindt naar het internet[137], zal bijgevolg meer spyware worden ontwikkeld dan virussen.

De derde verklaring vloeit hieruit voort. Omdat virussen eerder destructief te werk gaan, worden ze relatief vlug opgemerkt. De gebruiker zal merken dat bestanden werden vernield, dat zijn harde schijf werd geformatteerd of dat zijn ganse computersysteem niet meer wil opstarten. Ontwikkelaars van spyware daarentegen hebben er alle baat bij dat hun programma lange tijd op de harde schijf van het slachtoffer blijft, dus zullen zij er ook voor opteren om de spyware persoonlijke gegevens te laten verzamelen zonder dat zij haar aanwezigheid verraadt. De gebruiker zal dan ook veel minder vlug gealarmeerd worden wanneer spyware actief is[138].

 

Verder is het wel opmerkelijk dat veel meer pc’s geïnfecteerd bleken te zijn met spyware dan met virussen, terwijl net blijkt dat meer gebruikers over spyware beveiliging beschikken dan over antivirus software (62% tegenover 44%).

 

De onderzoekers stelden de respondenten ook vragen omtrent het recente fenomeen phishing. Slechts 42% van de gebruikers gaf aan ooit van de term gehoord te hebben. Daarvan kon slechts 57% correct uitleggen wat het fenomeen inhield.

61% van de respondenten had ooit een phishing e-mail ontvangen, waarvan 70% daadwerkelijk dacht dat de e-mail van een legitiem bedrijf afkomstig was.

Hieruit blijkt toch dat bij heel wat mensen de kans heel hoog ligt om in de val te trappen en gevoelige persoonlijke informatie in de handen van cybercriminelen te spelen.

 

Uit dit deel kunnen we concluderen dat gebruikers veiligheid op het internet onderschatten. Als we aannemen dat antivirus software, een firewall en spyware bescherming een must zijn om zichzelf te beschermen tegen online aanvallen, dan gaat 81% van de gebruikers onbeveiligd het net op, hoewel ze er toch zelf van overtuigd zijn genoeg maatregelen te hebben genomen om zichzelf te beschermen. Dat deze overtuiging ongegrond is, blijkt uit het feit dat veel gebruikers, ondanks de vele antispyware tools, over meer spyware beschikken dan zij vermoedden.

 

3.1.4. Belang van veiligheid bij gebruikers

 

Met het verder ontwikkelen van de informatiesamenleving en het steeds meer online bijhouden van persoonlijke gegevens, is een veilig internet uiteraard van enorm belang. Uit het voorgaande bleek reeds dat gebruikers niet genoeg maatregelen nemen om het individuele belang te beschermen.

 

Wat veel gebruikers echter ook niet beseffen is dat, zoals zal blijken uit “deel 3 : impact van onveiligheid op het internet”, het belang van veiligheid niet steeds bij het individu ligt, maar ook bij dat van onze naaste cybermedemens[139].

 

Op bepaalde systemen is het bijvoorbeeld mogelijk om als hacker het paswoord te kraken van één bepaalde account, om daarna de administratorrechten te verkrijgen en op die manier toegang te krijgen tot alle andere gebruikersaccounts[140]. Het komt er dus op neer dat één gebruiker die weinig belang hecht aan de beveiliging van zijn account, er onbewust voor kan zorgen dat andere gebruikers, die misschien wel waardevolle en belangrijke informatie hebben te beveiligen, het slachtoffer kunnen worden van een hacker met kwade intenties.

 

Hetzelfde geldt bij een DDoS-aanval. Eerder werd reeds uitgelegd dat geïnfecteerde pc’s (zombies) een netwerk (botnet) vormen waardoor de cybercrimineel in controle een server kan aanvallen door middel van een toevloed aan informatie.

De gebruiker wiens computer werd besmet zal niet zoveel last ondervinden van zijn “zombificatie”, áls hij het al opmerkt. In de meeste gevallen vertraagt het computersysteem en worden steeds foutmeldingen gegeven. Eventueel moet de harde schijf moet opnieuw schoongemaakt worden. En wanneer de gebruiker zelf niet zo goed met zijn computer overweg kan, zal hij zijn pc moeten binnenbrengen in de computerwinkel en de herstellingskosten betalen. Toch blijven deze ongemakken en kosten al bij al relatief gering.

 

Erger is het voor de server die werd aangevallen. Door de toevloed aan informatie zal deze vertragen of zelfs crashen en wordt de verbinding met het internet verbroken. Bijgevolg kunnen gebruikers niet meer gebruik maken van de diensten die de server ter beschikking stelde. Dit kan bijvoorbeeld een website zijn, maar ook de server van een ISP, waardoor een groot aantal gebruikers afgesloten zijn van het internet.

 

Stel dat het botnet wordt gebruikt om een systeem binnen een kritische infrastructuur aan te vallen, zoals bijvoorbeeld een elektriciteitscentrale of een treinnetwerk, dan is het niet moeilijk in te denken tot welke desastreuze gevolgen dit kan leiden (cfr. infra, deel 3, 2.1).

 

Omwille van dergelijke aanvallen is het dan ook belangrijk om als individuele gebruiker voldoende maatregelen te nemen om de eigen pc te beschermen, ook al heb je zelf weinig te verliezen bij een aanval. Het internet is tenslotte een digitale vorm van de samenleving, waarbij veilig internetgebruik behoort tot de plichten en verantwoordelijkheden van iedere gebruiker. Toch blijkt uit voorgaande punten dat veel gebruikers falen in het nemen van voldoende beveiligingsmaatregelen en de consequenties van hun eigen onveilige gedrag onderschatten. Vanuit een onrealistisch optimistische ingesteldheid of vanuit nonchalance[141], schatten ze de mogelijkheid dat iets fout zou gaan heel laag in, of onderkennen ze er de gevolgen van.

 

3.2. Conclusie

 

In dit hoofdstuk zagen we dat gebruikers het belang van veiligheid op het internet ernstig onderschatten.

 

Eerst werd aangehaald dat gebruikers er niet uit zichzelf in slagen om voldoende veilige wachtwoorden te kiezen die hun persoonlijke informatie beveiligen en die ervoor zorgen dat hackers niet de toegang krijgen tot computersystemen en netwerken. Belangrijke conclusie hierbij was dat gebruikers pas een veilig paswoord kiezen wanneer ze voldoende en duidelijk advies krijgen over hoe het wachtwoord samen te stellen.

 

Vervolgens kwam social engineering aan de beurt, waarbij uitgelegd werd hoe cybercriminelen op een geduldige en zelfzekere wijze de naïviteit, nieuwsgierigheid en nonchalance van gebruikers uitbuiten om toegang te krijgen tot informatie, netwerken en systemen.

 

Een volgend punt gaf de resultaten van de Online Safety Study uit december 2005 weer. Uit de technische analyses van het onderzoek bleek dat een groot aantal gebruikers op een onveilige manier verbinding maakt met het internet, hoewel de gebruikers zelf menen dat ze voldoende beveiligingsmaatregelen nemen. Hieruit kan afgeleid worden dat gebruikers geen besef hebben van de mogelijke manieren waarop cybercriminelen hun systemen misbruiken, dat ze niet voldoende zicht hebben op de ernst van de gevolgen en dat ze de beveiliging van hun computer ernstig onderschatten.

 

Tenslotte werd ook het belang van veiligheid besproken. Hierbij moet worden onthouden dat het beveiligingen van het eigen systeem zich niet enkel kadert in de bescherming van het individuele belang, maar ook het belang van derden en uiteindelijk de ganse samenleving omspant.

 

 

DEEL 3 : Impact van onveiligheid op het internet

 

Samen met de ontwikkeling van de informatiemaatschappij, groeit ook cybercriminaliteit mee en wordt ze steeds doordringender en gesofistikeerder[142]. Steeds meer heeft ze een ernstigere impact dan de meeste conventionele misdrijven[143], zowel op individueel (microniveau) als globaal niveau (macroniveau). Het hoeft dan ook niet te verwonderen dat cybercriminaliteit en cyberterrorisme momenteel op de derde positie staan bij de prioriteiten van de FBI[144].

 

In dit deel wordt deze impact van onveiligheid op het internet besproken in twee delen. Het eerste deel spitst zich kort toe op de impact op de individuele gebruiker (microniveau). Vervolgens wordt de impact op de samenleving en de globale economie behandeld (macroniveau). Hierbij komen zowel de fysische schade als de economische kosten aan bod.

 

 

1. Impact op microniveau

 

Cybercriminaliteit heeft impact op iedereen die zich verbindt met het internet[145]. Overheidsinstellingen, bedrijven en gebruikers, allen kunnen ze op een individuele manier rechtstreeks of onrechtstreeks slachtoffer worden en schade ondervinden van cybercriminaliteit.

 

Rechtstreeks mag duidelijk zijn. Wanneer door een cyberaanval een computersysteem niet meer functioneert, dan zullen de herstellingskosten voor rekening van het slachtoffer zijn. Worden verschillende systemen in een bedrijf buiten werking gesteld, dan heeft dit impact op het productieproces van de onderneming. Verliest een ziekenhuis de verbinding met internet of enig ander netwerk, dan kan zij op kritische momenten niet meer over de gegevens van een bepaalde patiënt beschikken. Een gebruiker wiens creditcardgegevens werden ontvreemd, kan door de dief een dure rekening worden gepresenteerd.

 

Maar ook onrechtstreeks kan men slachtoffer worden van cybercriminaliteit. Over het algemeen zijn bedrijven die aan e-commerce doen zich vaak heel bewust van het belang van een veilig internet[146]. Omdat hun inkomen er afhankelijk van is, zullen zij voldoende voorzorgen nemen en investeren in veilige software. Wat ze echter niet in handen hebben, is de beveiliging op de computersystemen van hun potentiële klanten.

Voor e-handelaars is het uiteraard van belang dat zoveel mogelijk mensen op het internet aangesloten zijn. Hoe meer gebruikers, hoe groter de afzetmarkt. Wanneer echter een virusaanval de computersystemen van een groot aantal gebruikers doet crashen, of hen op een andere manier van het internet afsluit, bijvoorbeeld door een DDoS-aanval op een internet provider of een DNS[147], dan verkleint ook de afzetmarkt voor de e-handelaars, idem dito hun omzet.

 

Ook de alledaagse gebruiker ervaart nadelen door de onbeveiligde systemen van andere gebruikers. De eerder vermeldde DDoS-aanval op de systemen van een ISP kan ervoor zorgen dat een groot aantal gebruikers wordt afgesloten van het internet.

Geïnfecteerde systemen kunnen door cybercriminelen worden overgenomen om spam de wereld in te sturen[148].

Of een DDoS-aanval kan ook gericht worden op de niet-commerciële website van een gebruiker. Het gevolg is dat de website offline moet gaan en de eigenaar van de website moet opdraaien voor alle kosten, die al vlug tot enkele duizenden euro’s kunnen oplopen[149]. Het gaat hier dan onder andere om verloren bandbreedte door de verhoogde netwerktrafiek, het heropstarten van de server in het datacenter en extra beschermingsmaatregelen tegen een nieuwe DDoS-aanval[150].

 

Dit wijst nog maar eens op de verantwoordelijkheid die iedere gebruiker heeft om zijn eigen computersysteem te beschermen, opdat andere gebruikers hier niet het slachtoffer van worden.

 

 

2. Impact op macroniveau

 

Naast individuele kosten heeft cybercriminaliteit ook een globalere maatschappelijke en economische impact.

 

2.1. Fysische schade en kritische infrastructuren

 

Naarmate onze informatiesamenleving zich verder ontplooit, neemt het belang van informatie- en communicatietechnologie steeds toe. Steeds meer worden maatschappelijk essentiële processen afgehandeld via het internet, waardoor overheden, bedrijven en gebruikers in grote mate afhankelijk worden van de goede werking ervan[151]. Dit wordt enkel maar versterkt door de verbindingen die steeds meer gelegd worden tussen informatiesystemen die vroeger los van elkaar stonden en waardoor meer mogelijkheden ontstaan. Deze netwerken hebben echter ook nadelige gevolgen. Het disfunctioneren van het ene systeem kan problemen veroorzaken bij het andere. Het hoeft dan ook niet te verbazen dat het internet, in de vorm van telecom-operatoren en ISP’s, net zoals bijvoorbeeld het elektriciteit- en gasnetwerk tegenwoordig als kritische infrastructuur wordt beschouwd[152].

 

In het onderzoeksrapport “Kwetsbaarheid van het internet” dat in 2001 werd gevoerd in opdracht van het Nederlandse Ministerie van Verkeer en Waterstaat, wordt een kritische infrastructuur gedefinieerd als “een systeem, zowel fysiek als virtueel, dat zo vitaal is voor een land dat het wegvallen ervan een verzwakkende invloed heeft op het sociaal en economisch functioneren en de nationale veiligheid”[153].

 

Wat er zou gebeuren mocht het internet plots wegvallen is moeilijk om in te schatten. Omtrent de kwetsbaarheden van deze kritische infrastructuur is heel weinig geweten[154] en er zijn weinig statistische gegevens beschikbaar[155].  Dit geldt zowel voor de maatschappelijke als de economische gevolgen. Mede omwille van de vele verbindingen met andere kritische sectoren zoals energie- en financiële dienstverlening, is het haast onmogelijk om ons een accuraat beeld te vormen wat de impact zou zijn mocht de telecommunicatie plots wegvallen. Wanneer bijvoorbeeld een DDoS-aanval die via het internet werd gepleegd de systemen in elektriciteitscentrales doet stilvallen, dan zou België vermoedelijk een 3, 4-tal dagen zonder elektriciteit kunnen[156]. Daarna heb je voedsel dat gaat bederven, medische apparatuur die het laat afweten, beperkte communicatiemogelijkheden, ... Kortom, de gevolgen zijn niet te overzien en het land zou ongetwijfeld in diepe crisis verkeren.

 

Het is echter zo dat er momenteel te weinig gegevens beschikbaar zijn om echt in te schatten hoe groot die kans is en wat de gevolgen zouden zijn mocht ze zich voordoen. Mede daarom, en in het kader van recente DDoS-aanvallen[157], is de FCCU momenteel bezig met het inschatten van die kansen en welke tegenmaatregelen eventueel genomen kunnen worden (cfr. infra, deel, 4, 2.1.1).

 

2.2. Economische schade

 

Omtrent de economische impact van cybercriminaliteit is reeds meer geweten. In deel 1 van deze scriptie gaven we reeds aan dat het verwerven van vermogensmiddelen, voornamelijk geld, steeds meer een motivatie is om cybercriminaliteit te plegen[158]. Bijgevolg heeft cybercriminaliteit dan ook vooral economische gevolgen, zowel op macro- (de globale markteconomie) als microniveau (de individuele gebruiker of het bedrijf). Toch stuit men ook hier op heel wat beperkingen om een correct zicht op zaken te krijgen. Vooreerst wordt al heel wat gepleegde cybercriminaliteit niet ontdekt[159] of niet gemeld aan de politie[160] (cfr. infra, deel 4, 1.2.2). Hierdoor ontstaat er een groot dark number inzake de berekening van de economische impact ten gevolge van cybercriminaliteit. Men dient dan ook steeds in gedachten te houden dat iedere poging tot inschatting van de gevolgen wellicht lager zal liggen dan de schade in werkelijkheid is.

 

2.2.1. Impliciete kosten

 

Een verdere moeilijkheid bij het berekenen van de economische verliezen zijn de impliciete kosten[161]. Expliciete kosten, zoals bijvoorbeeld de kostprijs van het herinstalleren van software of de tijd die een werknemer niet kon verder werken op zijn computer maar toch uitbetaald kreeg, zijn eenvoudig te berekenen. Impliciete kosten daarentegen zijn minder accuraat in te schatten. Dit slaat bijvoorbeeld op het verlies van potentiële verkopen wegens connectieverlies (bvb. in het geval van e-commerce) of omwille van negatieve publiciteit (het bedrijf verliest klanten nadat bekend werd dat het slachtoffer werd van een hacker).

 

Ook individuele gebruikers kunnen impliciete kosten ervaren. Dit is bijvoorbeeld het ongemak dat wordt ervaren bij de activiteiten van malware. Dit kan een trager werken van het computersysteem inhouden, de aantasting of het verlies van data, het onregelmatige crashen van de computer met eventueel gegevensverlies tot gevolg en de ervaren ergernis bij het wachten op technische hulp van de helpdesk[162].

 

2.2.2. Economische impact bij bedrijven : Computer Crime and Security Survey

 

Een interessant onderzoeksrapport dat de impact van cybercriminaliteit weergeeft bij bedrijven is het Computer Crime and Security Survey[163]. Dit jaarlijkse rapport wordt gevoerd door het Computer Security Institute met de medewerking van het Computer Intrusion Squad van de FBI uit San Francisco. De doelstelling van het rapport is om het bewustzijn omtrent computerveiligheid te verhogen, evenals een zicht op zaken te krijgen omtrent cybercriminaliteit in de Verenigde Staten.

 

Respondenten

De resultaten van het jaarrapport 2005 zijn gebaseerd op de antwoorden van een 700tal respondenten die tewerkgesteld zijn in informatiebeveiliging. Dit zijn mensen uit bedrijven, overheidsinstellingen, financiële instituten, medische instituten en universiteiten. Belangrijk om te weten is dat alle respondenten lid zijn van het Computer Security Institute[164]. Dit wil zeggen dat deze gebruikers het belang van veiligheid reeds hoger dan gemiddeld inschatten, waardoor de resultaten van het onderzoeksrapport niet helemaal representatief zullen zijn voor alle bedrijven.

 

2.2.2.1. Budget dat bedrijven uitbesteden aan informatiebeveiliging

 

Omdat ook het budget dat uitbesteed wordt aan informatiebeveiliging een gevolg is van onveiligheid op het internet, wordt hier even bij stilgestaan.

 

Figuur 1 : Percentage van het IT budget dat aan beveiliging wordt gespendeerd

 

Aan bedrijven werd de vraag gesteld in hoeverre het budget dat ze uitbesteden aan informatiebeveiliging zich verhoudt tot het algemene IT-budget. Ongeveer de helft van de respondenten (48%) gaf aan dat deze verhouding tussen 1 en 5 procent van het totale IT budget lag (zie figuur 1). Bij 11% lag de verhouding lager dan 1% en 27% spendeerde meer dan 5% van het IT budget aan informatiebeveiliging. In vergelijking met de resultaten van 2004 zijn hier geen significante verschillen[165].

Hier moet nogmaals worden gewezen op het feit dat de respondenten lid zijn van het Computer Security Institute en dus een hoger veiligheidsbesef hebben dan de gemiddelde gebruiker. Toch merken we een lage uitbesteding inzake informatiebeveiliging. De oorzaak hiervan kan gezocht worden in het feit dat de respondenten, in hun positie als information security manager, er zich wel van bewust zijn dat informatiebeveiliging een belangrijk aspect is bij het behalen van de bedrijfsdoelstellingen (winst), maar dat het de bedrijfsleiders zijn die moeten worden overtuigd om meer te investeren in informatiebeveiliging[166], gezien zij over de financiële middelen beschikken. Deze vallen dan ook enkel te overtuigen in pure economische termen.

 

Toch merkt het rapport hier verbetering op. Het rapport vermeldt drie verschillende methoden die bedrijfsleiders gebruiken om de opbrengst van een eventuele investering in informatiebeveiliging te berekenen. In vergelijking met vorige jaren blijkt dat bedrijfsleiders in 2005 minder dergelijke economische analyses hebben uitgevoerd alvorens te investeren in veiligheid. Dat lijkt er op te duiden dat bedrijfsleiders het investeren in informatiebeveiliging meer zouden beschouwen als iets wat moét worden gedaan, los van iedere economische analyse. Deze mentaliteitswissel zou kunnen veroorzaakt zijn door het bekendraken van de recente aanvallen bij grote bedrijven zoals CNN, Yahoo!, Amazon en eBay.

 

Figuur 2 : Gemiddelde investering in informatiebeveiliging per werknemer

 

Het valt ook op dat vooral de kleinste bedrijven het meeste investeren in informatiebeveiliging (zie figuur 2). Wellicht komt dit omdat bij deze bedrijven de overlevingskansen veel meer afhankelijk zijn van informatiebeveiliging dan bij de grote bedrijven.

 

Uitbesteding aan externe, gespecialiseerde firma’s

 

Figuur 3 : Informatiebeveiliging die wordt uitbesteed aan externe firma’s

 

Meer en meer wordt IT binnen bedrijven uitbesteed aan externe, gespecialiseerde firma’s[167]. Het voordeel aan uitbesteden van functies is dan ook dat het bedrijf zelf niet moet investeren in de knowhow over dit bepaalde probleem, maar het probleem kan uitbesteden aan de gespecialiseerde firma. Voor informatiebeveiliging blijkt dit echter nog niet het geval te zijn. 63% van de respondenten geeft aan dat de functie van informatiebeveiliging helemaal niet uitbesteed wordt (zie figuur 3). Zo goed als geen enkel bedrijf besteedt meer dan 80% van de informatiebeveiliging uit. Opnieuw zijn er hier geen significante verschillen met de resultaten van 2004[168].

Wanneer men aanneemt dat steeds meer IT wordt uitbesteed, dan tonen de resultaten van de afgelopen twee jaren aan dat bedrijfsleiders nog steeds informatiebeveiliging los zien van ander IT werk.

 

Figuur 4 : Gemiddeld percentage van uitbesteedde informatiebeveiliging

 

Uit figuur 4 maken we op dat de grootste bedrijven het meest (hoewel nog steeds weinig) informatiebeveiliging uitbesteden. Zij hebben dan ook de meeste vermogensmiddelen hiervoor beschikbaar.

 

Cyberinsurance

Wachtwoorden, antivirus software, firewalls, antispyware tools en andere beveiligingsmaatregelen volstaan niet op zich om aanvallen van cybercriminelen tegen te houden. De mens blijft nog steeds de zwakste schakel en dus kan het risico om als bedrijf slachtoffer te worden van cybercriminaliteit nooit volledig weggedacht worden. Vandaar dat het dan ook geen onzinnige gedachte is dat organisaties zich zouden laten verzekeren tegen het risico om financiële verliezen op te lopen, veroorzaakt door cybercriminaliteit, ondanks het nemen van de nodige beveiligingsmaatregelen[169]. Hoewel dit concept nog niet helemaal op punt staat, zijn er reeds in de Verenigde Staten verzekeringsmaatschappijen die cyberinsurance policies aanbieden[170].

 

Uit het onderzoek blijkt echter dat slechts 25% van de respondenten hiervan gebruik maakt om te helpen bij het beheer van cybersecurity risico’s. Dit is een kleine daling met 2004 (28%)[171]. Cyberinsurance bevindt zich echter in een vroeg stadium en wellicht wachten veel bedrijven af tot het concept zich meer ontwikkeld heeft en financieel interessanter wordt. Ongetwijfeld mogen we hier in de toekomst toe een stijging van cyberinsurance gebruikers verwachten.

 

2.2.2.2. Kostprijs van cybercriminele aanvallen

 

Figuur 5 : Geschatte verliezen per type aanval

 

Figuur 5 geeft de geschatte verliezen per type aanval weer. In totaal (alle types aanvallen en alle respondenten samen) werden de financiële verliezen in 2005 op 130 miljoen dollar geschat. In 2004 werd dit cijfer nog op 141 miljoen dollar geraamd. In 2003 bedroeg het bedrag 202 miljoen dollar. We merken dus een dalende trend in de geschatte verliezen.

 

Figuur 6 : Ontdekte types van aanvallen of misbruiken gedurende de laatste 12 maanden

 

Deze daling is te verklaren aan de hand van figuur 6. Deze grafiek stelt het aantal (ontdekte) cybercriminele aanvallen voor. We merken dat zo goed als alle categorieën aanvallen zich in een langzaam maar zeker dalende fase bevinden. De enige stijgende categorieën zijn website vervorming (website defacement) en misbruik van draadloze netwerken. Hierover kan men echter niets meer zeggen, gezien deze twee categorieën pas vorig jaar werden toegevoegd aan het onderzoek.

 

De collectieve daling van deze vormen van cybercriminaliteit hoeven echter niet te betekenen dat ook cybercriminaliteit wereldwijd minder ernstig wordt. Deze dalende trend dient eerder in het licht van een stijgende informatiebeveiliging bij deze veiligheidsbewuste respondenten gezien te worden.

 

De geschatte verliezen blijken jaarlijks te dalen. Toch blijven dit nog steeds grote bedragen. Er moet ook rekening gehouden worden dat deze verliezen enkel gelden voor 639 respondenten. Wereldwijd liggen de bedragen uiteraard veel hoger. Wanneer men weet dat één worm (het “I love you”-virus dat in 2000 uitbrak) meer dan 10 miljard dollar schade berokkende[172] en dat er dagelijks gemiddeld vier nieuwe virusdreigingen worden gemeld door Symantec[173], dan kan men zich wel inbeelden tot welke economische gevolgen onveiligheid op het internet leidt.

 

Uit figuur 5 is ook heel duidelijk te merken dat de top 3 van de types cybercriminaliteit die verantwoordelijk zijn voor deze grote bedragen, ook instaan voor een heel groot aandeel in het totale geschatte verlies. Op kop staan de aanvallen van virussen, worms en trojans. Zij zorgen voor een geschatte verlies van 43 miljoen dollar. Vaak vertragen ze dan ook systemen, laten ze harde schijven crashen en infecteren en verwijderen ze kritische bestanden.

Op de tweede plaats staat het zich ongeoorloofd toegang verstrekken door hackers. De respondenten schatten dat dit 31 miljoen dollar aan kosten met zich meebracht in 2005.

Op de derde plaats staat tenslotte de diefstal van bedrijfsinformatie. Ook hier wordt ongeveer 31 miljoen dollar aan verloren.

 

Als minst kostelijk worden de website vervormingen ervaren. Dit is ook logisch aangezien het hier vaak gaat om de aantasting van één of enkele HTML-bestanden. Deze bestanden bevatten geen bedrijfsgevoelige informatie en kunnen makkelijk terug hersteld worden aan de hand van back-ups. De voornaamste kosten die het bedrijf hierin zal maken is het betalen van het webdesign-team en eventueel het verlies in reputatie en aanzien.

 

De algemene trend van het aantal aanvallen, evenals de grootte van de economische verliezen is dalend. Nogmaals halen we hier aan dat de oorzaak hiervan bij een stijgende informatiebeveiliging van deze veiligheidsbewuste respondenten dient gezocht te worden en dat de resultaten van het onderzoek niet zomaar te veralgemenen zijn.

Toch zijn er twee categorieën die significant meer economisch verlies hebben veroorzaakt dan het jaar ervoor. In 2004 waren hackers die binnendrongen in de netwerken en systemen van bedrijven verantwoordelijk voor slechts 4 miljoen dollar verlies (tegenover 31 miljoen dollar in 2005) en de diefstal van bedrijfsinformatie voor 11 miljoen dollar[174] (31 miljoen dollar in 2005).

De reden waarom deze beide categorieën, ondanks de dalende trend, toch nog meer schade hebben aangericht bij deze veiligheidsbewuste respondenten, kan verklaard worden doordat hacken en het stelen van bedrijfsinformatie (die vaak samen voorkomen) in een hoge gradatie gebruik maken van social engineering-technieken, waarbij de menselijke naïviteit wordt uitgebuit. Daar waar bij virusaanvallen antivirus software kan worden geïnstalleerd (die overigens dagelijks evolueert en efficiënter wordt), kan tegen niet-technologische technieken zoals social engineering veel moeilijker weerstand geboden worden.

 

 

3. Conclusie

 

In dit derde deel kwam de impact van onveiligheid op het internet aan bod.

 

In een eerste hoofdstuk haalden we de impact op individueel niveau aan. Hierbij werd duidelijk dat iedereen die zich met het internet verbindt op een rechtstreekse en onrechtstreekse manier slachtoffer kan worden van cybercriminaliteit.

 

In het tweede hoofdstuk werd de impact op een globaal niveau besproken. Vooreerst kwam de fysische schade en de kritische infrastructuren aan bod. Het internet werd een kritische infrastructuur genoemd. Hoewel hierover nog geen gegevens beschikbaar zijn, werd omwille van de vele verbindingen met andere kritische infrastructuren de hypothese gesteld dat het plotse wegvallen van het internet zware gevolgen zou hebben voor de samenleving.

 

Vervolgens werd een poging gemaakt om een beeld te krijgen van de economische schade die door cybercriminaliteit wordt veroorzaakt. Hierbij was vooral het Computer Crime and Security Survey belangrijk. Omdat dit onderzoek wordt gehouden onder veiligheidsbewuste gebruikers, is het moeilijk conclusies te trekken naar alle gebruikers toe. Vandaar dat dit onderzoek vooral diende om zich te overtuigen van de enorme economische verliezen die cybercriminaliteit met zich meebrengt.

 

 

DEEL 4 : Aanpakken van onveiligheid op het internet

 

In dit deel worden enkele mogelijkheden om onveiligheid op het internet aan te pakken behandeld.

In het eerste hoofdstuk komt de repressieve aanpak van cybercriminaliteit aan bod. Hierbij wordt eerst de strafwetgeving omtrent informaticacriminaliteit kort besproken. Vervolgens worden enkele beperkingen aangehaald waaruit zal blijken dat het repressief optreden tegen cybercriminaliteit weinig efficiënt is.

Het tweede hoofdstuk spitst zich toe op het preventieve vermijden van onveiligheid op het internet. Als eerste punt wordt de samenwerking besproken tussen de overheid en private organisaties. Hierbij komen de beveiliging van de kritische infrastructuren als de bewustmaking van bedrijven en gebruikers aan bod.

Vervolgens worden enkele mogelijkheden aangehaald om onveilige software te vermijden. In dit deel komen zelfcorrectie van de softwaremarkt, kwaliteitsstandaarden, het publiceren van beveiligingsfouten en het tegengaan van de anonimiteit aan bod.

Tenslotte worden ook enkele mogelijkheden vermeld om de lage bewustzijnsgraad van gebruikers te verhogen.

 

 

1. Repressieve aanpak

 

Dit hoofdstuk begint met een beknopte voorstelling van de strafwetgeving op informaticacriminaliteit.

 

1.1. Strafwetgeving : de wet van 28 november 2000 op informaticacriminaliteit

 

De wet van 28 november 2000 verscheen op 3 februari 2001 in het Belgisch Staatsblad en werd van toepassing op 13 februari 2001[175]. Twee vormen van informaticacriminaliteit worden onderscheiden, namelijk specifieke, waarbij informatica het doel wordt van de criminaliteit, en niet-specifieke, met informatica als middel van de criminaliteit.

 

Aan het Strafwetboek werden vier nieuwe incriminaties toegevoegd :

 

 

Daarnaast werd ook het Wetboek van Strafwetvordering aangepast. Netwerkzoeking[180] en databeslag[181] zijn nieuwe instrumenten voor opsporing en bewijsvoering en het gerechtelijk apparaat kan nu ook personen waarvan vermoedt wordt dat ze zekere kennis hebben over het informaticasysteem, verplichten om mee te werken aan de bewijsgaring (medewerkingsplicht)[182].

 

Tenslotte vult de wet van 28 november 2000 nog de Telecomwet aan met betrekking tot identificatie- en bewaringsverplichtingen[183].

 

1.1.1. Aanloop

 

Het internet, en eigenlijk onze ganse informatiesamenleving in het algemeen, kent de laatste decennia een snelle evolutie. Reeds in 1990 boog de Belgische wetgever zich over de vraag of wetgeving inzake informaticacriminaliteit al dan niet noodzakelijk was[184], maar het wetsontwerp kwam er nooit door.

 

Terwijl andere West-Europese landen reeds specifieke informaticastrafwetgeving implementeerden[185], duurde het tot 1999 vooraleer België met een nieuw wetsontwerp op de proppen kwam[186]. Een voordeel van deze late reactie was echter wel dat inspiratie kon gehaald worden uit het Cybercrime verdrag van de Raad van Europa[187]. Zelf had het Cybercrime verdrag zijn inspiratie gevonden in o.a. onderzoekingen van de OESO en de conventie van de Verenigde Naties over Transnational Organized Crime[188].

 

1.1.2. Nieuwe incriminaties in het Strafwetboek

 

1.1.2.1. Valsheid in informatica (Art. 210bis, Sw.)

 

Art. 210bis Sw. bestraft het vervalsen van elektronische gegevens waardoor de juridische draagwijdte van deze gegevens verandert. Dit artikel werd ingevoerd omdat de bestaande strafwetgeving omtrent valsheid in geschrifte (art. 193-197 Sw.) niet volstond om vervalsing van elektronische gegevens aan te pakken.

De straf  die op dit misdrijf staat is een gevangenisstraf van 6 maanden tot 5 jaar en/of een geldboete van 26 euro tot 100.000 euro. Dezelfde straf geldt voor iemand die weet dat de gegevens vals zijn en ze toch gebruikt.

In geval van recidivisme binnen de eerste 5 jaar na de, wordt de straf verdubbeld. Deze strengere straf wordt verklaard doordat informaticadelicten op een vrij eenvoudige wijze kunnen worden gerealiseerd, terwijl de economische gevolgen aanzienlijk groot kunnen zijn[189].

 

Dit artikel stemt overeen met art. 7 (computer-related forgery) van het Cybercrime verdrag van de Raad van Europa[190].

 

Valsheid in informatica kan worden toegepast bij het namaken of vervalsen van kredietkaarten, maar kan ook zijn toepassing vinden in e-commerce wanneer elektronische contracten worden vervalst.

 

1.1.2.2. Informaticabedrog (art. 504quater Sw.)

 

Informaticabedrog slaat op het manipuleren van elektronische gegevens om daardoor op een bedrieglijke manier een vermogensvoordeel te verwerven. Dit artikel is terug te vinden in de bepalingen inzake de misdaden en wanbedrijven tegen de eigendommen en valt te vergelijken met de klassieke oplichterij of fraude.

De straf voor informaticabedrog is een gevangenisstraf van 6 maanden tot 5 jaar en/of een geldboete van 26 euro tot 100.000 euro. Ook hier wordt de straf verdubbeld in geval van recidivisme binnen de eerste 5 jaar na de veroordeling.

 

Dit artikel is een toepassing van art. 8 (computer related fraud) van het Cybercrime verdrag[191].

 

1.1.2.3. Ongeoorloofde toegang (art. 550bis Sw.)

 

Art. 550bis Sw. is een incriminatie die het hacken van systemen en netwerken strafbaar stelt. Dit artikel maakt een onderscheid tussen externe en interne hacking. Externe hacking vindt plaats wanneer een buitenstaander zich de toegang verleent tot een informaticasysteem terwijl hij daar niet de bevoegdheid toe heeft. Hierop staat een gevangenisstraf van 3 maanden tot 1 jaar en/of een geldboete van 26 euro tot 25.000 euro. Wanneer dit gebeurt met bedrieglijk opzet, dan wordt de gevangenisstraf 6 maanden tot 2 jaar.

 

Bij interne hacking heeft de persoon reeds op een legitieme wijze beperkte toegang tot een informaticasysteem verkregen (bvb. als werknemer op een bedrijfsnetwerk), maar verleent hij zichzelf toch toegang tot delen waar hij dit niet mag. Het gaat hier dus in feite om het overschrijden van de toegangsbevoegdheden. De straf hiervoor is 6 maanden tot 2 jaar en/of een geldboete van 26 euro tot 25.000 euro. Omdat iemand die reeds bepaalde bevoegdheden kreeg op een netwerk, een veel grotere kans maakt om onbedoeld deze bevoegdheden te overschrijden dan een hacker die al helemaal geen bevoegdheden tot het netwerk heeft, is bij interne hacking bedrieglijk opzet vereist om strafbaar te kunnen zijn.

 

In de derde paragraaf van dit artikel worden de verzwarende omstandigheden aangehaald. Deze zijn het overnemen van gegevens (=”spionage”), het gebruik maken van een informaticasysteem van een derde (=”tijdsdiefstal”) of het veroorzaken van schade aan het informaticasysteem; ook al gebeurde dat onopzettelijk.

 

Ook het beschikbaar stellen van hackertutorials en hackertools die worden gebruikt door “onervaren” script kiddies (cfr. supra, deel 1, 2) wordt met dit artikel strafbaar gesteld. Net zoals bij interne hacking is ook hier bedrieglijk opzet vereist, om geen hindernis te vormen voor de vrije verspreiding van algemene informatie omtrent de beveiliging van informaticasystemen.

 

Dit artikel is een toepassing van art. 2 (illegal access) van het Cybercrime verdrag[192].

 

1.1.2.4. Computer- en datasabotage (art. 550ter Sw.)

 

Het laatste artikel tenslotte behandelt computer- en datasabotage. Het gaat hier om de sabotage van gegevens en het belemmeren van de correcte werking van systemen.

 

Met datasabotage wordt de manipulatie van elektronische gegevens bedoeld met het oogmerk om te schaden. Het betreft het rechtstreeks of onrechtstreeks invoeren, wijzigen of wissen van gegevens in een informaticasysteem, evenals het veranderen van de mogelijke aanwending van elektronische gegevens door middel van technologische middelen. Inbreuken op dit artikel worden bestraft met een gevangenisstraf van 6 maanden tot 3 jaar en/of een geldboete van 26 euro tot 75.000 euro.

 

Hoewel datasabotage en computersabotage vaak heel nauw met elkaar verbonden zijn, werd omwille van de belangrijke positie die informaticasystemen in onze informatiemaatschappij innemen, het belemmeren van de correcte werking van informaticasystemen toch nog afzonderlijk strafbaar gesteld (paragraaf 3 van het artikel) en ook zwaarder bestraft. Inbreuken tegen dit artikel worden bestraft met een gevangenisstraf van 1 tot 5 jaar en/of een geldboete van 26 euro tot 100.000 euro.

 

Dit artikel sluit aan bij de artikelen 4 (data interference) en 5 (system interference) van het Cybercrime verdrag[193].

 

Computer- en datasabotage vinden hun toepassing in de verspreiding van virussen en andere malware die schade berokkenen aan gegevens en systemen. Maar ook bijvoorbeeld de hacker die bij ongeoorloofde toegang gegevens verwijdert om zijn sporen uit te wissen, is onderhevig aan dit strafwetsartikel.

 

1.1.3. Nieuwe artikelen in het Wetboek van Strafvordering

 

1.1.3.1. Databeslag (art. 39bis Sv.)

 

Dit artikel in het Wetboek van Strafvordering laat de procureur des Konings (en de onderzoeksrechter) toe om bestanden te kopiëren zodat de materiële dragers van deze gegevens (de computersystemen) niet steeds in beslag moeten worden genomen.

 

Wanneer de gegevens niet kunnen worden gekopieerd (omwille van technische redenen of door de omvang van de bestanden) dan laat dit artikel toe om passende technische middelen aan te wenden, waardoor de toegang tot de gegevens wordt verhinderd. Op deze manier wordt voorkomen dat bestanden die essentieel zijn voor opsporing of bewijsvoering, worden aangepast of vernietigd.

 

De procureur des Konings wordt ook toegestaan gegevens te vernietigen wanneer zij strijdig zijn met de openbare orde of de goede zeden.

 

Tenslotte legt dit artikel de procureur des Konings ook nog de verplichting op om de integriteit en de vertrouwelijkheid van de gegevens te waarborgen in het kader van de bescherming van bewijsmateriaal.

 

1.1.3.2. Netwerkzoeking (art. 88ter Sv.)

 

Dit artikel laat speurders toe naar analogie van huiszoeking, om op actieve wijze een netwerk te doorzoeken. Hierbij wordt wel de beperking gesteld dat de onderzoekers zelf niet mogen gaan hacken. Het komt er dus op neer dat de speurders enkel het netwerk mogen doorzoeken met dezelfde toegangsbevoegdheden als de persoon naar wie het onderzoek wordt gevoerd.

 

 

Tijdens deze netwerkzoeking is art. 39bis Sv. (databeslag) ook van toepassing. De onderzoeksrechter dient wel de verantwoordelijke van dit informaticasysteem op de hoogte te brengen, tenzij diens identiteit of woonplaats redelijkerwijze niet achterhaald kan worden.

 

Wanneer het blijkt om bestanden te gaan die zich niet op het Belgische grondgebied bevinden, dan mogen de gegevens enkel worden gekopieerd. De onderzoeksrechter moet dit dan wel, via het openbaar ministerie, onverwijld aan het ministerie van Justitie meedelen, dat op zijn beurt de bevoegde overheid van de betrokken Staat hiervan op de hoogte brengt (opnieuw op voorwaarde dat deze redelijkerwijze kan worden achterhaald).

 

1.1.3.3. Medewerkingsplicht (art. 88quater Sv.)

 

Met behulp van art. 88quater Sv. kunnen personen, waarvan men vermoedt dat zij het te onderzoeken informaticasysteem kennen of over een bijzondere expertise beschikken inzake bepaalde aspecten daarvan, verplicht worden hun medewerking te verlenen bij het onderzoek.

De verplichting kan echter niet opgelegd worden aan de verdachte zelf en diens naaste familieleden.

 

Bij dit artikel dient men te denken aan collega-werknemers in het bedrijf van de verdachte of gespecialiseerde derden die niet in verband kunnen worden gebracht met het te onderzoeken informaticasysteem.

 

1.2. Beperkingen bij repressieve aanpak van cybercriminaliteit

 

Met de wet op informaticacriminaliteit die in het voorgaande deel werd besproken, is het sinds 2000 mogelijk om repressief op te treden tegen cybercriminaliteit zonder dat gebruik moet gemaakt worden van dubieuze interpretaties van de wet. Van deze wet werd reeds verschillende malen gebruik gemaakt en een aantal cybercriminelen verschenen dan ook voor de strafrechter[194]. Toch blijft nog het overgrote merendeel van de cybercriminaliteit onbestraft[195]. De redenen hiervoor zijn veelvuldig :

 

1.2.1. Niet ontdekt

 

Vooreerst wordt heel wat cybercriminaliteit niet ontdekt[196]. Diefstal van elektronische gegevens beperkt zich vaak tot het kopiëren van de gegevens, zonder dat deze data worden weggenomen. Bijgevolg heeft de eigenaar van de bestanden vaak niets in de gaten. Dit geldt ook voor elektronisch vandalisme. In tegenstelling tot vandalisme in de fysieke wereld, kunnen beschadigde elektronische data voor lange tijd onopgemerkt blijven[197]. Zeker wanneer de hacker genoeg tijd besteedde om zijn sporen uit te wissen. Wanneer de schade dan uiteindelijk toch nog wordt ontdekt, is de kans groot dat het slachtoffer de oorzaak zoekt in een technisch falen dan in het werk van een hacker.

 

1.2.2. Niet aangegeven

 

Wanneer cybercriminaliteit dan toch wordt ontdekt, blijkt dat heel weinig slachtoffers melding maken bij de politie in de veronderstelling dat de daders toch nooit opgespoord zullen worden[198]. Hierbij komt nog dat bedrijven er weinig financieel voordeel in zien om de feiten te rapporteren[199]. Hun vrees is dan ook dat, wanneer uitlekt dat zij slachtoffer werden van cybercriminaliteit, hun klanten het vertrouwen in het bedrijf zullen verliezen en hun toevlucht zullen nemen bij de concurrentie. Daarnaast vrezen de bedrijven ook dat de negatieve publiciteit ervoor zal zorgen dat ze slachtoffer zullen worden van nabootsende hackers[200].

 

Een andere reden om niet te melden is dat het bij de bedrijven aan vertrouwen in de overheid ontbreekt[201]. Dit omdat zij de overheidsdiensten als indringers zien die weinig meegaand zijn met het bedrijfsleven en volledig onverschillig staan tegenover de belangen van de onderneming[202]. De inmenging van de overheidsdiensten en de weken-, soms maandenlange inbeslagneming van de computersystemen zijn een belemmering voor het productieproces.

Ook het kopiëren van bedrijfsgevoelige informatie in het kader van het gerechtelijk onderzoek wordt als een bedreiging ervaren, omdat het bedrijf geen controle meer kan uitoefenen op het verdere kopiëren en het verspreiden van deze kritische gegevens.

 

Sommige bedrijven wensen ook geen aangifte te doen omdat ze hopen zelf de hacker te vinden en hem in dienst kunnen nemen als veiligheidsadviseur[203]. Het overkwam de 20-jarige Nederlander die de Kournikova-worm op de wereld losliet, evenals de 23-jarige Filippijnse maker van de Lovebug en de 24-jarige Taiwanees die het Tsjernobyl-virus ontwikkelde[204].

 

1.2.3. Moeilijkheden bij de opsporing en het verzamelen van bewijsmateriaal

 

Wanneer het misdrijf dan toch wordt gemeld, dient er zich een volgend obstakel aan : het opsporen van de cybercrimineel en het verzamelen van het nodige bewijsmateriaal.

 

1.2.3.1. Internationaal karakter

 

Het grote voordeel dat het internet biedt aan zijn gebruikers, vormt net het grootste nadeel voor het gerechtelijke apparaat : het internationale karakter van het internet vergemakkelijkt de opsporing van daders zeker niet. Een hacker uit Japan kan bijvoorbeeld via een server in Duitsland een bedrijf in België aanvallen. Om deze dader op te sporen heeft men vanuit België niet de bevoegdheid om zomaar in Duitsland sporen te gaan zoeken en bewijsmateriaal te verzamelen. Men dient met de internationale politie samen te werken op basis van rogatoire opdrachten[205]. Hieronder verstaat men dat de onderzoeksrechter zich richt tot een (onderzoeks)rechter in het buitenland via de Ministeries van Justitie van beide landen met de vraag of hij bepaalde onderzoeksdaden wil stellen[206].

 

Deze procedure is echter nog niet aangepast aan de technologie en de snelheid waarmee criminelen misdrijven plegen[207]. De rogatoire opdracht dient eerst door de onderzoeksrechter overgemaakt te worden aan het Ministerie van Justitie. Die maakt de opdracht over aan het Ministerie van Justitie van het andere land, die het dan weer doorgeeft naar een rechter ter plaatse. Deze dient de opdracht te valideren alvorens hij beslist over te gaan tot de uitvoering ervan. Opnieuw komt de opdracht in handen van andere mensen. Het komt er dus eigenlijk op neer dat heel veel mensen worden ingeschakeld voor iets wat behoorlijk vlug moet gaan omdat sporen op het internet slechts voor een beperkte tijd worden bijgehouden.

 

Logs

Deze sporen doen zich voornamelijk voor in de vorm van logs[208]. Dit is de term die gebruikt wordt bij de optekening van een event (een bepaalde gebeurtenis zoals bijvoorbeeld de aanmelding van een gebruiker, het toevoegen, wijzigen of verwijderen van een bestand of het proberen toegang te verkrijgen tot een bepaald netwerk) door een bepaald computersysteem (bijvoorbeeld een besturingssysteem, een server, een router, een firewall, software, ...). Deze logs worden bijgehouden om op een later tijdstip de oorzaak en samenhang van bepaalde gebeurtenissen te kunnen achterhalen en vindt vooral zijn toepassing in het oplossen van technische fouten. Omdat op het moment van het optekenen nog niet geweten is waarvoor de gegevens eventueel kunnen dienen, is het dan ook van groot belang dat alle details in het logboek terecht komen.

 

Het probleem bij de opsporing van cybercriminelen is echter dat deze logs niet door iedereen even lang worden bewaard. In de Belgische wetgeving worden telecom-operatoren verplicht om deze gegevens minstens 12 maanden te bewaren[209]. Op Europees en internationaal niveau zijn er echter verschillende vage en onderling verschillende richtlijnen omtrent databewaring van toepassing[210], waardoor snel dient gehandeld te worden. Wanneer de tussenpersonen bij rogatoire opdrachten niet beseffen dat onmiddellijk handelen noodzakelijk is in deze materie, dan gaan kostbare bewijsstukken en opsporingsmiddelen verloren[211].

 

Om aan dit probleem tegemoet te komen, werd in het Cybercrime verdrag van de Raad van Europa expedited preservation voorzien[212]. Deze maatregel van strafvordering laat het gerechtelijke apparaat toe om operatoren te verplichten bepaalde gegevens, waarvan men vermoedt dat ze belangrijk zijn in het onderzoek, voor een beperkte tijd te “bevriezen”. Met deze procedure wil men vermijden dat kritische gegevens gewijzigd of verwijderd worden nog vooraleer de gerechtelijke overheden de toelating hebben gekregen om de data in beslag te nemen[213]. Het komt er dus op neer dat, op het moment dat men weet dat een bepaalde operator beschikt over mogelijke cruciale gegevens, aan deze operator wordt opgelegd om het bewijsmateriaal veilig te stellen en verdere gegevens te verzamelen, in afwachting van het bevel van de onderzoeksrechter.

 

Deze maatregel werd echter nog niet overgenomen in het Belgische Wetboek van Strafvordering. Dit betekent dat in België de operator wel kan gevraagd worden om gegevens te bevriezen, maar men kan hem niet verplichten om hieraan gevolg te geven, noch sanctioneren omwille van een eventuele trage uitvoering[214].

 

1.2.3.2. Anonimiteit

 

Een ander obstakel om de dader op te sporen is de anonimiteit van het internet. Anonimiteit op het internet kent verschillende niveaus[215].

 

Netwerktoegangfysiek

Het basisniveau is de netwerktoegangfysiek. Wanneer verschillende computersystemen in een netwerk verbonden zijn, dient ieder aangesloten toestel identificeerbaar te zijn[216]. Deze identificatie is noodzakelijk om de verzonden datapakketten, die de communicatie tussen twee informaticasystemen vormen, bij het correcte toestel te laten aankomen.

De vergelijking kan gemaakt worden met een postbode die brieven (de datapakketten) moet bezorgen in een wijk (het netwerk). Wanneer de huizen (de toestellen) niet over huisnummers (de identificatie) beschikken, kunnen de brieven niet bezorgd worden en is er geen sprake van communicatie. Wanneer de verbonden systemen in het netwerk niet identificeerbaar zijn, is netwerktransmissie onmogelijk[217].

De identificatie zelf gebeurt meestal op basis van het MAC-adres van de netwerkkaart of via het serienummer van de modem waarmee de gebruiker verbinding maakt met de internetprovider[218].

 

Omwille van de bovenstaande technische redenen is er op dit niveau geen sprake van anonimiteit. Ieder computersysteem dat verbinding maakt met het internet dient identificeerbaar te zijn. Wanneer dit niet zo is, treden er communicatiestoornissen op.

Ervaren hackers hebben hier echter iets op gevonden. Zij kunnen hun MAC-adres spoofen. Bij deze techniek wordt het echte adres gemaskeerd en wordt een vals adres meegegeven met de datapakketten die worden verzonden vanuit het gemaskeerde toestel[219]. Op die manier kan de bron van de pakketten niet worden achterhaald, of komt men terecht bij de onschuldige gebruiker aan wie het valse adres toebehoort. In die zin is er dus toch sprake van anonimiteit op dit basisniveau.

 

Aanmelding bij de ISP

Een volgend niveau is de aanmelding bij de ISP. Deze aanmelding gebeurt via een gebruikersnaam en een paswoord, waarbij de gebruiker zich identificeert als een abonnee van de provider. In het geval van ADSL en andere inbelverbindingen is het echter zo dat, eens de lijn geactiveerd is, gebruikersnaam en paswoord volstaan om van waar dan ook via de geactiveerde lijn een verbinding te maken met het internet. Ergo, wanneer een hacker beschikt over de login-gegevens van een abonnee, kan hij de identiteit van zijn slachtoffer aannemen (identity theft) en blijft hij ook op deze manier anoniem.

 

Internetdiensten

Het hoogste niveau zijn de diensten die gebruikt worden op het internet. Wanneer deze diensten worden beveiligd, zoals bijvoorbeeld in het geval van een e-mailserver, online banking of de raadpleging van persoonlijke medische dossiers, dan gebeurt dit op dit niveau voornamelijk aan de hand van wachtwoorden. Zoals reeds eerder aangehaald werd, zijn deze wachtwoorden vaak slecht gekozen en eenvoudig te achterhalen met behulp van password breakers, social engineering en andere technieken (cfr. supra, deel 2, 3.1). Opnieuw kunnen hackers hier een valse identiteit aannemen.

Op dit niveau zijn accounts ook heel makkelijk aan te maken op basis van valse en onbestaande identiteitsgegevens. Zo kunnen spammers en cyberstalkers hun slachtoffers bestoken met onbestaande e-mailadressen. Het is daarom ook niet verwonderlijk dat anonimiteit op dit niveau het meeste voorkomt.

 

Gecreëerde anonimiteit

Wanneer men dus teruggaat tot op het basisniveau van het internet is er in principe geen sprake van anonimiteit. Hiervoor dient men echter eerst de andere niveaus te doorkruisen, waar wel, in verschillende mate, anonimiteit mogelijk is. Deze combinatie van verschillende lagen maakt van de identificatie van een gebruiker een complexe en tijdrovende taak. Gebruikers beseffen dit en zullen hierin een excuus vinden om onbestraft delinquent gedrag te plegen op het internet[220]. Dit gaat onder andere over het verkondigen van racistische en xenofobische uitspraken, het online pesten van andere gebruikers en het illegale downloaden van muziek en software. Omwille van de hoeveelheid aan dergelijke “kleine” inbreuken, de lage meldingsgraad van slachtoffers en de beperkte middelen, capaciteit en tijd van het gerechtelijke apparaat om deze inbreuken op te sporen en te vervolgen, wordt het gevoel van anonimiteit en straffeloosheid enkel versterkt. Dit komt echter later terug aan bod (cfr. infra, dit deel, 2.2.4).

 

1.3. Publiek-private samenwerking

 

Weinig bedrijven maken melding bij de politie nadat ze slachtoffer werden van cybercriminaliteit. Zij vrezen dat de negatieve publiciteit hen klanten zal kosten, dat de inbeslagname van de aangevallen computersystemen het productieproces zal hinderen en dat ze, in het kader van het onderzoek, bedrijfskritische data zullen moeten vrijgeven. Om dit te vermijden richten zij zich tot gespecialiseerde, private beveiligingsfirma’s.

 

Dit heeft echter een belangrijk nadeel tot gevolg. Deze firma’s kunnen wel de veiligheidslekken dichten en advies verlenen hoe volgende aanvallen te voorkomen, maar zij zijn beperkt in hun middelen om cybercriminelen op te sporen. Zij beschikken dan wel over de kennis, de middelen, de technologie en de capaciteit, maar kunnen niets doen zonder de vrijwillige medewerking van de betrokkenen[221]. Netwerkzoeking, databeslag en medewerkingsplicht behoren nog steeds tot het geweldsmonopolie van de overheid en dus kan één “nee” het ganse onderzoek van de private sector blokkeren. Wanneer bedrijven die het slachtoffer werden van cybercriminaliteit zich richten tot de private sector, dan kunnen private beveiligingsfirma’s dan misschien wel voorkomen dat deze bedrijven opnieuw slachtoffer worden, maar hiermee wordt de cybercrimineel niet opgespoord. Hierdoor blijft de kans bestaan dat andere slachtoffers worden gemaakt[222].

 

Toch kan men niet verwachten dat er een wetgeving komt die de dwangmiddelen van de publieke sector overdraagt aan de private sector[223]. Dit is reeds het geval in de Verenigde Staten en het is maar de vraag in hoeverre dit nog waarden zoals privacy en rechtszekerheid beschermt.

 

De private beveiligingssector beschikt nochtans wel over enkele belangrijke troeven. Om steeds een sterke positie te behouden op de dienstenmarkt, ligt de druk om zich steeds bij te scholen en over up-to-date apparatuur te beschikken, veel hoger dan bij de overheid. Dit economische gegeven zorgt ervoor dat de private sector altijd over meer kennis, middelen, technologie en capaciteit zal beschikken[224]. Ook inzake confidentialiteit naar bedrijven toe hebben private veiligheidsfirma’s een voetje voor[225].

 

Daarom is het noodzakelijk dat het tussen beide sectoren tot een samenwerking komt. Bij de publieke sector staat de FCCU in voor de bestrijding van de cybercriminaliteit. Deze politiedienst situeert zich op nationaal niveau en maakt deel uit van de Directie voor de Bestrijding van de Economische en Financiële Criminaliteit (DGJ/DJF).

 

FCCU en IFA

De FCCU werkt op vlak van forensisch ICT-onderzoek samen met het Instituut voor Forensische Auditoren (IFA)[226]. Dit instituut werd in 2000 opgericht met de bedoeling specialisten te vormen die, in het kader van financiële en fiscale fraude, in bedrijven opsporingen gaan doen. Deze opsporingen gebeuren niet in de vorm van gewone audits, waarin nagegaan wordt of de bestaande regels wel of niet worden gevolgd. Zij gaan een stap verder en controleren of de gevolgde regels wel compleet zijn; en of er zich geen hiaten voordoen waardoor fouten niet worden gedetecteerd door gewone audits.

 

In dit verband heeft de FCCU, samen met het IFA, een cursus computerforensics opgezet die uit twee delen bestaat : computerforensics en dataforensics. De FCCU werkte vooral mee in het deel computerforensics en gaf haar forensische methodes en de achterliggende theorie door aan de mensen uit de private sector die deze cursus volgden. De bedoeling hiervan is om onderzoekers uit de private sector op een forensisch verantwoorde manier te laten handelen en te voorkomen dat belangrijke sporen worden gewist wanneer zij worden ingeschakeld door een bedrijf dat slachtoffer werd. Op deze manier kan de private sector onderzoek verrichten en sporen reeds veilig stellen zonder ze zelf te “vertrappelen”. Na de analyse van de forensische controle kunnen de private onderzoekers de diagnose aan het bedrijf stellen. Het bedrijf heeft dan de keuze : ofwel wordt het probleem intern opgelost, ofwel wordt de politie ingeschakeld. In dit laatste geval kan het gerechtelijk onderzoek zonder problemen worden aangevat omdat men niet wordt geconfronteerd met beschadigde sporen.

 

Het is in dit kader van het veilig stellen van bewijs- en opsporingsmateriaal dat de publiek-private samenwerking op repressief niveau gezien dient te worden. Het geweldsmonopolie blijft nog steeds in handen van de overheid, maar waar de publieke sector wel dient naar toe te werken is op het gebied van confidentialiteit[227]. Bedrijven zouden melding moeten kunnen maken van een incident en eventueel ook klacht kunnen neerleggen, zonder dat er een gerechtelijk dossier wordt opgesteld. Op deze manier kan de gemelde informatie gebruikt worden zonder dat er uiteindelijk iets voor de rechtbank komt en wordt negatieve publiciteit aldus vermeden.

 

Momenteel is dit nog moeilijk. De meeste bedrijven zijn wel bereidwillig om hun medewerking te verlenen, maar willen niets weten van een gerechtelijk dossier. Het probleem is echter dat je in het geval van computercriminaliteit heel vaak een onderzoeksrechter nodig hebt, die niet kan seponeren, waardoor de zaak steevast voor de rechtbank wordt voorgebracht[228].

 

Zolang de overheid de confidentialiteit en integriteit van de gegevens die onderzocht worden niet kan garanderen, zullen bedrijven afkerig blijven om melding te maken van incidenten en geremd worden in hun medewerking.

 

1.4. Conclusie

 

De hiervoor vermelde beperkingen maken het moeilijk repressief op te treden. Een groot deel cybercriminaliteit wordt vooreerst al niet ontdekt. Van deze ontdekte inbreuken blijken weinig slachtoffers bereid melding te maken bij de politie. Omwille van de technologische complexiteit, de anonimiteit en het internationale karakter van het internet worden slechts een beperkt aantal cybercriminelen opgespoord en een nog kleiner aantal vervolgd[229]. Bijgevolg blijft het grootste aandeel cybercriminaliteit op het internet onbestraft.

 

Om hieraan tegemoet te komen werkt de overheid samen met private beveiligingsfirma’s en geeft hen forensisch verantwoorde methoden mee om gegevens te verzamelen, zodat zij niet meer geconfronteerd wordt met “vertrappelde” sporen en bewijsmateriaal. Hoewel dit een stap in de goede richting is, volstaat dit niet om de wildgroei aan cybercriminaliteit in te dijken.

 

Het is ook maar de vraag of repressief optreden een efficiënte manier is om cybercriminaliteit aan te pakken. Met het dagelijkse evolueren van de informatie- en communicatietechnologie en de creatie van nieuwe mogelijkheden, ontwikkelt ook cybercriminaliteit zich steeds verder en vindt zij steeds weer kansen om deze mogelijkheden uit te buiten.

De strafwetgeving daarentegen kent omwille van zijn vele procedures een vertraagde ontwikkeling, waardoor zij dus steevast achterop hinkt. Daarbij blijkt het strafprocesrecht ook nog eens onvoldoende adequaat om cybercriminaliteit op te sporen en te vervolgen.

 

Repressief optreden is zeker en vast noodzakelijk. Vanuit de strafwetgeving dient een publiek signaal gegeven te worden aan cybercriminelen dat hun gedrag niet getolereerd wordt door de (informatie)samenleving. Hun straf heeft in dit opzicht een vergeldende functie, maar ook de algemene en bijzondere preventieve functie en de resocialiserende werking van de straf zijn belangrijk[230]. Het vervolgen van cybercriminelen is ook belangrijk voor het slachtoffer om een schadevergoeding te krijgen[231]. En wanneer andere maatregelen falen om cybercriminaliteit in te perken, kan het strafrecht nog steeds dienen als stok achter de deur.

 

Maar in die “stok achter de deur” ligt ook de werkelijke kracht van het strafrecht. Een repressieve aanpak is pas efficiënt wanneer ze als ultimum remedium wordt gebruikt[232]. Strafrecht dient het laatste middel te zijn waarnaar men teruggrijpt wanneer alle andere maatregelen falen. We haalden reeds aan dat cybercriminaliteit voortvloeit uit de bestaande onveiligheid op het internet zoals zij werd gecreëerd door softwareontwikkelaars en gebruikers. Wanneer deze graad van onveiligheid naar beneden gehaald kan worden, wordt ook een groot aandeel cybercriminaliteit onmogelijk gemaakt. Wat resteert kan veel efficiënter deel uitmaken van een repressief optreden.

 

 

2. Preventieve aanpak

 

Beter dan cybercriminaliteit repressief proberen aan te pakken, is het voorkomen van de kansen tot het plegen van cybercriminaliteit, namelijk de onveiligheid op het internet.

In dit hoofdstuk worden enkele mogelijkheden aangehaald om onveiligheid op het internet (gedeeltelijk) te voorkomen. Er moet hier onmiddellijk bij worden vermeld dat het hier niet gaat om een exhaustieve lijst van alle mogelijke maatregelen.

 

2.1. Publiek-private samenwerking

 

In het vorige hoofdstuk werd de FCCU reeds voorgesteld bij de publiek-private samenwerking op repressief niveau. Deze nationale politiedienst staat in voor de opvolging van computergerelateerde criminele fenomenen en activiteiten en het bieden van technische ondersteuning bij onderzoeken binnen een geautomatiseerde omgeving. Daarnaast heeft zij echter ook een belangrijke taak op het vlak van adviesverlening aan de overheid, de bedrijven en de gebruikers omtrent de dreigingen op, en de beveiliging van informatie- en communicatiesystemen.

 

In deze adviesverlening, onderneemt de FCCU een aantal acties waarbij samengewerkt wordt met private organisaties[233].

 

 

2.1.1. Beveiliging kritische infrastructuren

 

In 2004 hield de FCCU een vergadering waarin de huidige situatie van de Belgische kritische ICT-infrastructuur werd besproken[234]. Deze besprekingen werden in 2005 doorgegeven aan het College voor Inlichting en Veiligheid binnen de Ministerraad. Dit college is een administratief orgaan dat de tussenschakel vormt tussen het Ministerieel Comité voor Veiligheid en Inlichting (dat het inlichtingenbeleid vastlegt) en de diensten die op het terrein het inlichtingenbeleid vorm moeten geven. Het college is samengesteld uit allerlei vooraanstaande personen uit het Belgische veiligheidsbeleid, waaronder vertegenwoordigers van diensten die nuttige inlichtingen kunnen geven met het oog op een gemeenschappelijke dreiginganalyse[235] en gaat vooral na welke maatregelen er moeten worden genomen om België veilig te houden[236].

 

De conclusie die werd doorgegeven aan het College voor Inlichting en Veiligheid is dat er momenteel geen enkele overheidsinstelling is die zich effectief inzet om de kritische ICT-infrastructuur te beschermen[237]. Voorlopig houden enkel de private bedrijven die deze infrastructuren in handen hebben, zoals Belgacom en Telenet, zich daarmee bezig. Het is echter belangrijk dat ook de overheid zich hiervoor inzet, want stel dat deze twee bedrijven buiten werking worden gesteld, dan heeft dit eveneens nefaste gevolgen voor de overheidsinstellingen.

 

Op dit punt doet de FCCU nu aan risicoberekening. Er wordt nagegaan waar de kritische infrastructuren zich bevinden, wie die uitbaat, wat de mogelijke dreigingen zijn en hoe groot de kans is dat deze dreigingen zich daadwerkelijk voordoen.

Omwille van het recente initiatief heeft men hierover echter nog geen resultaten beschikbaar[238].

 

Op basis van de beslissingen van de Ministerraad werd het Belgische Overlegplatform Informatieveiligheid (BeNIS) opgericht. Uit het BeNIS zijn in februari 2006 twee werkgroepen voortgekomen. Eén werkgroep houdt zich bezig met Critical Information Infrastructure Protection (CIIP). De andere neemt geclassificeerde informatie voor zijn rekening. Deze geclassificeerde informatie slaat zowel op kritische gegevens van de overheid als informatie van bedrijven die op zeker ogenblik gevraagd worden hun gegevens te beveiligen. Met deze laatste werkgroep werkt de FCCU echter zelden samen. Zij is echter wel vertegenwoordigd in de eerste werkgroep, maar opnieuw omwille van de recentheid van deze groep is ook hier weinig verdere informatie beschikbaar.

 

Samenwerking met werkgroepen

De FCCU verleent haar medewerking in verschillende werkgroepen omtrent kritische infrastructuren in ICT. Rode draad hierbij is steeds weer het nagaan hoe men op een efficiënte manier reële dreigingen ten opzichte van de kritische ICT-infrastructuur kan herkennen en, belangrijker nog, hoe ze te voorkomen. Steeds worden verschillende mogelijkheden overlopen zoals in hoeverre men bepaalde maatregelen kan opleggen bij telecom-operatoren, de noodzaak aan een samenwerkingsverband met bepaalde personen, organisaties of bedrijven, de noodzaak om een overheidsdienst op te richten die richtlijnen gaat geven en verplichtingen oplegt, enz. ...

 

Om de samenwerking met deze werkgroepen geolied te laten verlopen, is het dan ook noodzakelijk dat iedereen die in de materie betrokken is, zich ten volle bewust is van de mogelijke risico’s[239]. Van hen wordt dan ook verwacht dat ze alle mogelijke stappen ondernemen om iedere dreiging te neutraliseren. Om dit te bereiken houdt de FCCU regelmatig voorstellingen van wat werd vastgesteld en wat eventueel de mogelijkheden zijn.

 

Voorlopig bestaan deze werkgroepen nog voornamelijk uit mensen van overheidsinstellingen. Het is echter wel de bedoeling dat in de nabije toekomst mensen uit de private sector, zoals operatoren, actiever in deze groepen worden betrokken.

 

2.1.2. Bewustmaking van bedrijven

 

Naar bedrijven toe werkt de FCCU vaak samen met VZW’s en organisaties die werken rond informaticaveiligheid. Zo is er bijvoorbeeld de samenwerking met de Belgische Club voor Informatica Veiligheid (Belcliv). Deze organisatie werd in 1989 opgericht vanuit het Verbond voor Belgische Ondernemingen (VBO) en richt zich tot bedrijven met technische aanbevelingen inzake informaticaveiligheid. De FCCU werkt met deze organisatie samen in de werkgroep “incident procedures bij computercriminaliteit”[240]. Bedoeling van deze samenwerking is om richtlijnen uit te bouwen die ook verstaanbaar zijn voor mensen uit bedrijven met weinig kennis omtrent ICT.

 

De FCCU werkt ook samen met het Leuven Security Excellence Consortium (L-SEC). Deze organisatie legt zich toe op het verleggen van grenzen inzake informaticaveiligheid binnen de regio Leuven-Brussel. Opnieuw geldt hier dat de FCCU haar medewerking verleent in de beeldvorming van wat informaticaveiligheid is, wat de risico’s zijn en welke maatregelen genomen moeten worden.

 

Naast de samenwerking met dergelijke overlegplatformen, werkgroepen en organisaties, doet de FCCU ook nog vaak presentaties die dikwijls kaderen in evenementen rond informatica en informaticaveiligheid, georganiseerd door bedrijfsleiders. Deze evenementen richten zich vaak tot informaticatechnici, maar de FCCU probeert toch heel bewust bedrijfsleiders aan te spreken. Het zijn namelijk deze mensen die een zekere beslissingsbevoegdheid hebben over de beschikbare budgetten en het zijn zij die overtuigd moeten worden om te investeren in apparatuur waar de informaticatechnicus moet mee werken[241].

 

2.1.3. Bewustmaking gebruikers

 

Ook gebruikers moeten bewust gemaakt worden van het belang van een veilig computersysteem. Vanuit de overheid, en in samenwerking met de FCCU, werden daarom ook reeds meerdere initiatieven genomen om de gebruiker te wijzen op zijn verantwoordelijkheden.

 

2.1.3.1. Veilig internet via de nieuwe Telecomwet

 

Op 13 juni 2005 werd onder impuls van SP.A-lid Philippe De Coene de nieuwe wet op elektronische communicatie goedgekeurd[242]. Deze wet herneemt bepalingen uit de Telecomwet van 1991[243], die sommige openbare overheidsinstellingen, zijnde de toenmalige RTT en de Post, omvormden tot autonome bedrijven. Met de nieuwe wet wordt het Belgische Instituut voor Postdiensten en Telecommunicatie (BIPT) belast met de coördinatie van een beleid inzake veiligheid op het internet. Het BIPT wordt hierbij bevoegdheden toegekend die hen toelaten om telecom-operatoren te verplichten bepaalde maatregelen te nemen in het kader van de beveiliging van hun netwerken en de aanlevering van hun diensten.

 

Vanuit deze optiek worden ISP’s dan ook met de nieuwe Telecomwet verplicht om gratis beveiligingssoftware te leveren aan hun klanten, deze ook gratis te updaten en ervoor te zorgen dat hun diensten zelf zo veilig mogelijk zijn. Het gaat om de aanbieding van gratis spamfilters, antivirus software en de bescherming tegen spyware. Ook softwareontwikkelaars worden met deze wet verplicht hun internetgerelateerde programma’s zo veilig mogelijk te maken en regelmatig gratis veiligheidsupdates verstrekken. De wetgeving is echter nog onduidelijk of deze voorwaarden ook gelden voor gratis software. De webbrowser Firefox is bijvoorbeeld gratis en zonder contract af te halen van het internet. Dit in tegenstelling tot de browser Internet Explorer die verkregen wordt bij de aankoop van het besturingssysteem Windows en waarop deze wet in ieder geval van toepassing is.

De nieuwe Telecomwet stelt overigens ook dat alle helpdesks gratis worden. In het verleden werden gebruikers met problemen soms minutenlang in de wachtrij geplaatst, waardoor hun telefoonrekening de hoogte in schoot. Met de nieuwe wet kan men nu de helpdesk kostenvrij telefonisch consulteren.

 

2.1.3.2. Peeceefobie

 

Minister van Werk en Informatisering van de Staat en de Samenleving Peter Vanvelthoven lanceerde in oktober 2005 in samenwerking met een zestigtal ICT-bedrijven de informatiecampagne “Peeceefobie” [244]. Deze sensibiliseringscampagne richtte zich naar gebruikers toe rond het veilig gebruik van de computer en het internet. Met deze campagne wil de federale overheid twee zaken bereiken. Enerzijds wil zij meer mensen aanzetten om de computer en het internet te gebruiken. Anderzijds dient dit te gebeuren op een veilige manier.

 

Het eerste zwaartepunt van de “Peeceefobie”-campagne vond eind oktober 2005 plaats. Belgische gebruikers konden bellen naar een helpdesk voor informatie rond het slim beveiligen van hun computer en tips rond het veilig gebruik van e-mail en het internet. Tegelijkertijd werden 400.000 informatieboekjes uitgedeeld. Deze uitgaven zijn overigens nog steeds beschikbaar.

 

In november 2005 werd het tweede zwaartepunt gelanceerd. In samenwerking met een aantal bedrijven uit de ICT-sector werden een 500tal jongeren opgeleid tot Responsible Young Security Agents[245]. Deze RYSA’s werden het pad opgestuurd om bij mensen thuis de beveiliging van hun computer na te gaan. Bij gevonden veiligheidsfouten werden maatregelen voorgesteld en, mits de goedkeuring van de eigenaars, werden zij ook toegepast of verwees men de gebruikers door naar erkende specialisten.

 

Tenslotte dient nog vermeld te worden dat tot december 2005, gebruikers een goedkope pc-herstelbeurt werd aanboden door de resellers die aan de campagne deelnamen.

 

De “Peeceefobie”-campagne werd echter niet het verhoopte succes. In de bijhorende televisiespot speelde huisvrouw “Ginette” de hoofdrol. “Ginette” werd echter voorgesteld als een domme, pc-vrezende jaren ’50 huisvrouw die de computer te lijf ging met haar stoffer, stofzuiger, insectenspray en keukenrol, om dan uiteindelijk helemaal over haar toeren de computer met enkele goed geplaatste dynamietstaven, de lucht in te blazen. Dit opgevoerde vrouwbeeld werd door enkele vrouwenrechtenorganisaties slecht ontvangen[246], waardoor de focus op een hogere bewustzijnsgraad bij gebruikers werd afgeleid[247].

 

2.2. Onveilige software

 

In dit deel worden enkele maatregelen aangehaald om onveilige software tegen te gaan.

 

2.2.1. Zelfcorrectie van de softwaremarkt ?

 

De commerciële druk en het lemons equilibrium (cfr. supra, deel 2, 1.2) zorgen ervoor dat softwareontwikkelaars geneigd zijn slechts in beperkte mate in veiligheid te investeren. Deze commerciële druk is inherent aan de vrijemarkteconomie en beperkt zich niet enkel tot softwareontwikkelaars. Uit onderzoek blijkt dat zo goed als alle bedrijven uit alle sectoren zich bezondigen aan één of andere vorm van ondernemingscriminaliteit[248], waaronder het nalaten van te investeren in kwaliteit en veiligheid er slechts één van is.

Vanuit de overheid worden softwareontwikkelaars via de nieuwe Telecomwet verplicht alle mogelijke inspanningen te leveren om veilige software op de markt te brengen[249]. Maar hiermee wordt de commerciële druk die rust op de schouders van de ontwikkelaars nog niet weggehaald en het is maar de vraag in hoeverre zij ook daadwerkelijk dergelijke inspanningen zullen leveren.

 

Toch zijn er vanuit de softwaremarkt zelf enkele trends aan te halen die er misschien zullen voor zorgen dat de softwaremarkt zichzelf corrigeert, namelijk open source en de automatische patchtechnologie.

 

2.2.1.1. Open Source

 

Open source software betekent dat software wordt ontwikkeld zonder dat de inzage in de broncode wordt verhinderd door auteursrechten of handelsgeheimen[250]. De broncode van de applicatie is door iedereen vrij in te kijken en eens aangekocht (of vrij verkregen, want veel open source toepassingen zijn gratis) mag de applicatie zelfs volledig aangepast worden door de klant. Omwille van deze open broncode is hier dan ook geen sprake meer van het lemons equilibrium[251]. Er is dan wel nog steeds kennis vereist om “onder de motorkap te kijken” van het programma, maar niets houdt de klant tegen om zich te laten bijstaan door een expert.

 

Op vlak van veiligheid heeft open source software een voetje voor op de traditionele “gesloten” software en het hoeft dan ook niet te verbazen dat deze softwarevorm vooral populair is bij veiligheidsbewuste gebruikers[252]. Belangrijk om te weten is dat open source software op zich niet garant staat voor kwalitatieve, veiligere software[253]. Maar omwille van de afwezigheid van auteursrechten en handelsgeheimen is de broncode tenminste controleerbaar en kan de producent niet zomaar meer beweren wat hij wil om dan achteraf met upgrades uit te pakken.

Verder kan een open source applicatie ook op een volstrekt legale manier worden gemodificeerd. Wanneer een interessante applicatie wordt uitgebracht die bol blijkt te staan van de bugs, dan kan die door een (team van) enthousiasteling(en) onder handen worden genomen en opnieuw worden uitgebracht als een alternatieve en evenwaardige, maar ook veiligere versie.

 

Open source software kent een stijgende populariteit. De open source webserver Apache wordt geschat ongeveer 60% van de webserversystemen in te nemen[254]. Andere open source toepassingen die het goed doen zijn het besturingssysteem Linux, de webbrowser Firefox en de e-mail-client Thunderbird[255].

 

Toch zal de open source technologie niet onmiddellijk in de nabije toekomst de softwaremarkt domineren. Vooreerst is er het nadeel dat je vaak over een basis computerkennis en –vaardigheid moet beschikken, wil je met deze programma’s aan de slag gaan. Vooral applicaties die geschreven werden door onafhankelijke thuisontwikkelaars kunnen nogal ruw zijn om mee om te gaan en heel wat fouten bevatten.

Deze thuisontwikkelaars bieden de klant ook geen technische ondersteuning aan, waardoor de klant in geval van problemen vaak op zichzelf is gewezen.

 

2.2.1.2. Automatische patchtechnologie

 

Een variant van de upgrades uit deel 2 zijn de patches. Dit zijn kleinere programma’s die door de ontwikkelaar meestal gratis ter beschikking worden gesteld en die een deel van de geïnstalleerde software zullen updaten en veiligheidslekken zullen wegwerken. In tegenstelling tot de upgrades worden hier geen grote wijzigingen aangebracht.

 

Meestal moeten patches handmatig worden afgehaald en geïnstalleerd, maar het is ook mogelijk om de software zelf te laten zoeken naar nieuwe patches en die automatisch te laten afhalen en te installeren. Zo zal Windows XP op regelmatige basis updates zoeken op de Microsoft servers, deze afhalen en ze installeren al dan niet met de toelating van de gebruiker (afhankelijk van de gekozen instellingen).

 

Automatische patchtechnologie bij bedrijven

Voor de gewone gebruikers is het automatische patchen een goed systeem om pas ontdekte kwetsbaarheden in software te herstellen.

Bedrijven zijn echter minder happig om op deze manier patches te installeren[256]. Computers werken met verschillende besturingssystemen. Omdat deze elk hun eigen logica hebben en om problemen te vermijden, worden patches vaak uitgegeven per besturingssysteem. Dit is niet zo moeilijk, gezien ze beperkt in aantal zijn. Waar men echter geen rekening mee kan houden is de andere software die op de te patchen computers draait. In die zin is ieder systeem uniek en kan nooit op voorhand voorspeld worden wat het effect zal zijn van de geïnstalleerde patch. Het kan dus makkelijk gebeuren dat de patch, in plaats van beveiligingsgaten te dichten, net het hele systeem ontregelt en zo het ganse productieproces vertraagt of gedeeltelijk stillegt.

 

Omwille van deze reden zullen bedrijven eerst de patch uitproberen op een testsysteem en de neveneffecten nagaan. Daar kruipt uiteraard enige tijd in, zodoende dat een window of exposure (ook window of vulnerability genoemd) wordt gecreëerd[257]. Dit is een tijdspanne waarin men zich bewust is van een veiligheidslek, maar dat men niet onmiddellijk wil dichten omdat eerst het proces van testen, accepteren en implementeren van de patch moet worden doorlopen[258]. Deze periode neemt gemiddeld een 19tal dagen in beslag[259]. Het is in deze tussentijd, deze window of exposure, dat zero-day-exploits voorkomen[260]. Met het uitgeven van de patch wordt ook het veiligheidslek bekend gemaakt waartegen de patch dient te beschermen. Dit komt ter ore van cybercriminelen die nu dit lek kunnen misbruiken bij bedrijven en gebruikers die zich in de window of exposure bevinden[261].

 

Zoals reeds werd aangehaald is de automatische patch-distributie een aannemelijk oplossing voor gewone gebruikers omdat, ook al zou de patch ervoor zorgen dat het thuissysteem tijdelijk niet meer op de correcte manier functioneert, je over het algemeen wel kunt stellen dat dit geen al te ernstige consequenties heeft voor de gewone gebruiker.

Dit geldt uiteraard niet voor bedrijven. Toch zou je de automatische distributie en implementatie van patches kunnen behouden en toch de window of exposure vernauwen. Dit kan door ook het proces van testen, accepteren en implementeren van de patch te automatiseren[262]. Dit zou betekenen dat alle technische processen moeten worden geïnventariseerd, zodoende dat er een exhaustieve checklist kan worden opgebouwd. Pas wanneer alle checks positief zijn, kan de patch worden geïnstalleerd en geïmplementeerd. Dit systeem zou de window of exposure ongetwijfeld aanzienlijk verkleinen. Toch blijken bedrijven ook hiertegenover weigerachtig te staan[263]. Als reden hiervoor kan opnieuw de lage bewustzijnsgraad van bedrijven/gebruikers omtrent veiligheid aangehaald worden, evenals de typische menselijke trek om graag alles zelf in de hand hebben.

 

2.2.2. Regulatie van software : kwaliteitsstandaarden

 

Eind 20ste eeuw kenden milieubewegingen een stijgende populariteit. Uit hun bezorgdheid om de vervuiling van onze leefomgeving, slaagden zij er in dat allerlei milieunormen werden opgelegd aan de industriële sector. Bijgevolg kunnen industriële bedrijven nu niet zomaar meer op eender welke manier eender welke grondstoffen gebruiken en hun afval eender waar lozen. Zij moeten rekening houden met opgelegde standaarden die lucht- en watervervuiling tegengaan, geluidsoverlast verhinderen en mensen een aangenamere, schonere en veiligere leefomgeving trachten te garanderen.

 

Gelijkaardige standaarden vinden we ook terug in de auto-industrie. Niet enkel worden ook hier milieunormen opgelegd, het is ook zo dat de gefabriceerde wagens eerst grondig moeten onderworpen worden aan een screening waarbij wordt nagegaan of ze wel voldoen aan allerlei veiligheidsnormen vooraleer ze het wegdek op mogen. Deze veiligheidsnormen reguleren bijvoorbeeld de kracht van de remmen, de sterkte van de koplampen en de aanwezigheid van spiegels en gordels. Zij worden niet alleen opgelegd om de veiligheid van de bestuurder te verzekeren, maar ook die van de passagiers én alle andere weggebruikers.

 

Kwaliteitsstandaarden in de softwareontwikkeling

Wanneer we deze lijn doortrekken naar de ontwikkeling van software, lijkt het geen slecht idee om ook softwareproducenten dergelijke kwaliteitsstandaarden op te leggen. De vraag is echter, hoe wordt veilige software gedefinieerd ? Art. 114§2 van de nieuwe Telecomwet verplicht softwareontwikkelaars om de nodige maatregelen te treffen die “een zo hoog mogelijk beveiligingsniveau waarborgen dat in verhouding staat tot het betrokken risico, rekening houdende met de stand van de techniek en de kosten van de uitvoering ervan”[264].

 

Maar wat is een “zo hoog mogelijk beveiligingsniveau” ? In het geval van de milieunormen kan bijvoorbeeld opgelegd worden dat een bepaalde dioxinewaarde niet overstegen mag worden. In het geval van de auto-industrie kan opgelegd worden dat bijvoorbeeld de rolkooi van de wagen bestand moet zijn tegen botsingen aan een bepaalde snelheid.

Maar hoe zit dat met software ? Moet zij bestand zijn tegen bijvoorbeeld vijf hackers en bij de zesde gaat men in de fout ? Mogen er slechts een bepaald aantal bugs of veiligheidslekken in de applicatie worden ontdekt ?

Zoals we reeds aangaven in deel 2 komen kwetsbaarheden in software niet enkel voort uit de onwil van softwareproducenten om vooraf te investeren in veiligheid, maar zijn zij ook het gevolg van menselijke vergissingen en vooral van de inventiviteit van cybercriminelen. Waar kwaliteitsstandaarden nog enigszins effect kunnen hebben in de eerste twee gevallen, bijvoorbeeld door de nieuwe software te laten controleren via quality checks[265] door een team van ethische hackers, zullen zij tegen de inventieve criminele geest weinig kans maken.

 

Quality checks

De aangehaalde quality checks kunnen als veiligheidsnormen een nuttig onderdeel vormen binnen de risicobeheersing van softwareontwikkelaars. Zo kunnen zij de ontwikkelaars opleggen bij de planning van een project reeds aan bepaalde risico’s te denken. Bijvoorbeeld, wanneer een database moet worden aangelegd waar persoonsgegevens in dienen te komen, kan een quality check de aanwezigheid van privacy enhancing technieken inhouden. Of wanneer de applicatie een input van de gebruiker vergt, moet men inputcontrole toepassen.

 

Een nadeel van kwaliteitsstandaarden is wel dat zij de open source beweging een voet kan zetten. De open source gemeenschap steunt vooralsnog voornamelijk op onafhankelijke thuisontwikkelaars, die weinig of meestal zelfs niets verdienen aan hun applicaties. Wanneer sancties worden gekoppeld aan het niet naleven van deze standaarden, dan zal dit deze groep afschrikken, omdat zij zich niet kunnen indekken tegen het risico dat hun applicaties eventuele menselijke vergissingen bevatten.

 

2.2.3. Publiceren van beveiligingsfouten

 

Gebruikers hoeven niet te wachten tot de overheid softwareontwikkelaars verplicht veiligere software uit te brengen. Zij kunnen het heft in eigen handen nemen en zelf veiligheidslekken in de applicatie gaan opsporen. Hierdoor waarschuwen zij niet alleen andere gebruikers voor de aanwezigheid van kwetsbaarheden in bepaalde software, zij leggen hiermee ook extra druk op de ontwikkelaar om deze veiligheidslekken zo vlug mogelijk te dichten.

 

Bugtraq

Een dergelijke groepering is Bugtraq[266]. Bugtraq is een mailing list die zich toelegt op online veiligheid. Ingeschreven gebruikers kunnen van deze mailing list gebruik maken om er nieuwe ontdekte veiligheidslekken openlijk in bekend te maken, te discussiëren over op welke manier kwetsbaarheden misbruikt kunnen worden en mogelijke oplossingen aanhalen om de veiligheidshiaten te dichten. Eigen aan Bugtraq is het principe van full disclosure. Softwareontwikkelaars zijn geneigd enkel ontdekte kwetsbaarheden aan te pakken en laten het na om tijd en moeite te stoppen in het wegwerken van ongekende bugs. Om hieraan tegemoet te komen en de producenten te dwingen alle onveiligheden weg te werken, werkt Bugtraq volgens het principe van full disclosure, waarbij gevonden bugs volledig en onmiddellijk worden publiek gemaakt, ook wanneer nog geen patch bestaat om dit probleem tegen te gaan.

Het gevolg hiervan is dat een window of exposure ontstaat (de tijdspanne tussen het bekendraken van het lek en het uitbrengen van een patch die dit lek moet dichten),  waardoor zero-day-exploits­ mogelijk worden gemaakt, want uiteraard worden ook cybercriminelen op de hoogte gebracht van de gevonden onveiligheden.

 

Bugtraq houdt vast aan het principe van full disclosure opdat ontwikkelaars extra hard inspanningen zouden leveren om zo vlug mogelijk een patch uit te brengen, teneinde zero-day-exploits te voorkomen. Deze denkwijze wordt gestaafd door empirisch onderzoek[267] waaruit blijkt dat het principe van full disclosure wel degelijk vlugger een patch tot gevolg heeft, dan wanneer men enkel de ontwikkelaar informeert van het gevonden beveiligingslek. Hiertegenover staat echter wel dat, omwille van de window of exposure, het aantal misbruiken van het gevonden lek hoger komt te liggen.

 

Andere groeperingen

Groeperingen zoals iDefense en CERT/CC (Computer Emergency Response Team Coordination Center) opteren dan eerder voor een systeem waarin gebruikers gevonden onveiligheden kunnen melden, maar in tegenstelling tot Bugtraq worden deze niet onmiddellijk publiekelijk bekend gemaakt[268]. Enkel de softwareontwikkelaar wordt verwittigd die een bepaalde tijd krijgt om een patch te maken en uit te brengen. Pas na het verstrijken van deze termijn, verschijnt het veiligheidslek in de mailing list, met de bijhorende patch.

In dit systeem wordt eventueel een vergoeding uitgeloofd aan de vinder van het lek, zodat deze de fout niet vrijgeeft of misbruikt tijdens de termijn die werd gegeven aan de ontwikkelaar[269].

 

Dit systeem van bugfinding mailing lists heeft niet enkel het voordeel dat gebruikers elkaar ondersteunen en softwareontwikkelaars dwingen in veiligheid te investeren, ook biedt het aan hackers de mogelijkheid om de kick van het hacken te behouden, zonder dat deze moet leiden tot illegale handelingen[270]. De geestelijke uitdaging blijft behouden en er kan nog steeds roem worden verworven als vinder van een bepaald veiligheidslek[271].

 

2.2.4. Tegengaan van anonimiteit : internetarchitectuur

 

De verschillende graden van anonimiteit op het internet die het lastig maken om cybercriminelen op te sporen, kwamen reeds aan bod (cfr. supra, dit deel, 1.2.3.1). Uit verschillende hoeken komt dan ook het voorstel om de architectuur van het internet zodanig om te bouwen, zodat de gebruiker verplicht wordt zich te identificeren vooraleer hij verbinding kan maken met de virtuele wereld of bepaalde accounts kan aanmaken[272].

 

Het hoeft geen betoog dat een dergelijke omschakeling niet van vandaag op morgen kan gebeuren. De technische veranderingen zouden heel wat tijd innemen en de kosten die hiermee gepaard zouden gaan, zouden werkelijk gigantisch zijn. Wil men deze omschakeling ook nog eens compatibel houden met de gekoppelde infrastructuren, dan zou het “nieuwe internet” ook veel complexer worden, waardoor nieuwe kwetsbaarheden zouden geïntroduceerd worden. Deze kwetsbaarheden zouden gewiekste en ervaren cybercriminelen de kans bieden nieuwe mogelijkheden te vinden om opnieuw hun identiteit te falsifiëren, wat ons opnieuw terug bij af brengt.

 

Maar toch niet helemaal. Het idee om de internetarchitectuur te veranderen zodoende dat identificatie verplicht wordt, is niet zo slecht. Criminaliteit zal nooit volledig de kop ingedrukt kunnen worden en welke maatregelen men ook treft, altijd zullen er wel creatieve figuren zijn die achterpoortjes vinden om mensen en systemen te misleiden en te misbruiken voor eigen profijt. Afgezien van deze cybercriminelen kan verplichte identificatie een stap in de goede richting zijn om de totale cybercriminaliteit significant te laten dalen.

 

Vermeende anonimiteit

Een grote groep gebruikers meent namelijk anoniem te zijn op het internet[273]. Met eenvoudige technieken zoals het aanmaken van een account op basis van valse identiteitsgegevens, kan men zich op het hoogste identificatieniveau anoniem houden tegenover andere gebruikers die inzake identificatie over weinig kennis en beperkte middelen beschikken. Hierdoor voelen deze gebruikers zich vrij om ongegeneerd racistische en xenofobische uitspraken te verspreiden, online grove beledigingen toe te werpen naar andere gebruikers, worms en spam rond te sturen, illegale (kinder)pornografische sites te bezoeken of op een illegale manier software, audio- en videobestanden af te halen of ter beschikking te stellen. Deze aanname van een valse identiteit blijft echter meestal op het hoogste niveau en is in principe vrij eenvoudig te achterhalen. Echter, omwille van de hoeveelheid aan dergelijke “kleine” inbreuken, de lage meldingsgraad van slachtoffers, de beperkte middelen, capaciteit en tijd van het gerechtelijke apparaat en de complexiteit en de administratieve rompslomp die digitale opsporingen met zich meebrengen, wordt aan dergelijke inbreuken weinig gevolg gegeven. Uiteraard versterkt dit het valse gevoel van anonimiteit en straffeloosheid enkel.

De invoering van verplichte identificatie zou dan ook een groot deel van dit delinquente gedrag door gebruikers verhinderen, of minstens makkelijker opspoorbaar maken.

 

Privacy en opsporing

In de lange geschiedenis van het debat rond anonimiteit en identificatie op het internet, schermen tegenstanders met het recht op privacy[274]. Men vreest een big brother mentaliteit waarin iedere handeling op het internet gevolgd zal kunnen worden.

Hierbij moet echter een balans gevonden worden[275]. Privacy is zeer zeker een belangrijk aspect dat gerespecteerd en gewaarborgd moet worden. Ook in de fysieke wereld zijn bepaalde handelingen mogelijk onder een pseudoniem of volledig anoniem. Dit is ook soms wenselijk in het kader van de bescherming van het privé-leven[276]. Zo kun je bijvoorbeeld als deelnemer van een wedstrijd die werd georganiseerd door een winkelketen, verhinderen dat je gegevens worden opgenomen in een klantendatabase. Een auteur kan om diverse redenen wensen onder een pseudoniem te publiceren. Anonimiteit kadert ook in de economische wereld bij de handelsoverdracht tussen twee personen via een drankautomaat. In de juridische wereld kan een getuige wensen om anoniem een verklaring af te leggen.

 

Omtrent ano- en pseudonimiteit bestaan verschillende wettelijke bepalingen. Omdat het privé-leven even waardevol moet blijven in de digitale wereld als in de fysieke wereld, moet het dan ook mogelijk zijn om alle handelingen die in de offline wereld toegelaten zijn anoniem of onder een pseudoniem te laten gebeuren, ook op het internet te laten plaatsvinden[277]. Vooral in het kader van de persoonlijke gegevensverzameling door derden, die misbruikt worden voor spam-doeleinden, phishing, identity theft of elektronische fraude, is dit meer dan wenselijk.

 

Maar het moet wel bij deze handelingen, die toegelaten zijn door de wet, blijven. Een doorgedreven privacybescherming mag er niet voor zorgen dat cybercriminelen ongestoord en straffeloos hun gang kunnen gaan. Zij moeten nog steeds opspoorbaar en vervolgbaar zijn. In het dagelijkse leven loopt men ook niet met maskers over straat.

 

Een veranderde internetarchitectuur dient rekening te houden met deze balans tussen privacy en identificatie met het oog op de opsporing en vervolging van criminelen, zodat de identificatie zich beperkt tot de betrokken partijen en niet beschikbaar wordt voor derden.

 

Internetarchitectuur in de verre toekomst

Is deze verandering wel mogelijk ? Zoals reeds werd aangehaald is ze in ieder geval niet voor de nabije toekomst. Toch dient ze er ooit te komen[278]. Het internet ontstond in de jaren zestig uit het ARPANet dat door de Amerikaanse overheid werd opgericht. De leden van dit netwerk waren militaire instellingen en universiteiten die het netwerk gebruikten voor gezamenlijk onderzoek. ARPANet was dus vooral klein en de leden kenden elkaar en konden elkaar grotendeels vertrouwen. Vanuit dit opzicht werd door de ontwerpers van de TCP/IP (de basisprotocollen van het internet) weinig aandacht besteed aan identificatie en veiligheid. Men had toen ook geen idee dat het internet zou uitgroeien tot wat het nu is : een wereldwijd netwerk waarop honderden miljoenen gebruikers aangesloten zijn die elk hun eigen drijfveren hebben. Dit verklaart de vele kwetsbaarheden en beperkingen inzake identiteit en veiligheid.

 

Naarmate het internet steeds groeit en belangrijker wordt in onze informatiesamenleving, rijzen ook de behoeften en noden om over een veiliger netwerk te beschikken waarbij cybercriminelen kunnen worden geïdentificeerd. Deze noden en behoeften uiten zich in de ontwikkeling van nieuwe infrastructuren en protocollen, die onvermijdelijk zullen leiden tot de verandering van de internetarchitectuur[279].

 

Hoe deze toekomstige veranderingen zich zullen verhouden tegenover de inventiviteit van de menselijke criminele geest, blijft echter een vraag waar we voorlopig het antwoord op schuldig moeten blijven.

 

2.3. Bewustmaken van gebruikers

 

2.3.1. Bewustzijn verhogen

 

In deel 2 toonden we reeds aan dat gebruikers vooralsnog over een lage bewustzijnsgraad beschikken wanneer het gaat om veiligheid op het internet. Dit heeft tot gevolg dat gebruikers niet enkel een gevaar voor zichzelf vormen, maar ook een risico vormen voor de ganse samenleving. Vanuit dit oogpunt is het dan ook essentieel dat gebruikers een hoger bewustzijn wordt bijgebracht.

 

Sensibiliseringscampagnes vanuit de overheid naar de bevolking toe werden reeds aangehaald in een eerder hoofdstuk (cfr. supra, dit deel, 2.1.2. en 2.1.3 ).

 

Safer internet

Op Europees niveau probeerde de campagne “Safer Internet” gebruikers aan te sporen tot meer veiligheid op het internet. Deze campagne loopt van oktober 2004 tot oktober 2006 en vindt plaats in 27 landen. Het Belgische luik kadert in een samenwerkingsverband tussen Child Focus, het Centrum voor Gelijkheid van Kansen en voor Racismebestrijding, het Informatie- en Adviescentrum inzake Schadelijke Sektarische Organisaties, de Internet Service Provider Association en het Onderzoeks- en Informatiecentrum van de Verbruikersorganisaties. Het wordt ondersteund door de Europese Commissie, DG Information Society en wordt opgevolgd door een comité van experts.

 

Deze campagne richt zich vooral tot kinderen en jongeren en wil hen aanleren om op een intelligente en voorzichtige manier met het internet en de mobiele technologie om te springen en waarschuwt hen voor de mogelijke risico’s en valstrikken. Dit gebeurt aan de hand van informatiebrochures, voordrachten en online educatieve spelletjes.

 

De campagne richt zich overigens ook tot ouders en leerkrachten, met de bedoeling dat zij deze kinderen en jongeren een hoger veiligheidsbewustzijn bijbrengen.

 

2.3.2. Sanctioneren van gebruikers door ISP’s

 

Een andere mogelijkheid om gebruikers gevoeliger te maken voor veiligheid, is ISP’s toe te laten gebruikers die niet voldoende maatregelen nemen om zich te beveiligen, te sanctioneren[280]. Dit kan op een heel eenvoudige manier. Wanneer een ISP opmerkt dat een gebruiker met een geïnfecteerd computersysteem verbinding tracht te maken met het internet, kan de operator de klant verwittigen en hem vragen nodige maatregelen te nemen om de malware te verwijderen[281]. Hierbij kan het reeds volstaan om antivirus software, een firewall en antispyware tools te installeren en een grondige scan van het systeem uit te voeren[282]. Deze maatregelen kosten de gebruikers niets, want niet alleen zijn er reeds voldoende kwalitatieve versies af te halen van het internet, ook worden ISP’s door de Belgische wetgeving verplicht om ze gratis aan te bieden[283].

 

Wanneer de gebruiker na een bepaald aantal verwittigingen er nog steeds niet in slaagt zijn computersysteem te desinfecteren, en dus zichzelf en anderen blijft blootstellen aan cybercriminaliteit, dan kan de operator hem de toegang tot het internet voor een bepaalde tijd ontzeggen. Dit systeem gebeurt reeds bij Nederlandse operatoren[284] en zou ook opgenomen zijn in de Zweedse wetgeving[285]. In België kan deze maatregel opgelegd worden door het BIPT, dat belast is met het veiligheidsbeleid en dat de bevoegdheid heeft om dergelijke maatregelen op te leggen aan telecom-operatoren.

 

Omdat heel wat patches, virus definitions en andere removal tools echter enkel via het internet af te halen zijn, mag deze gebruikers niet de volledig toegang tot het internet worden ontzegd[286]. Technisch gezien is dit echter geen enkel probleem en kan de geïsoleerde gebruiker nog steeds geholpen worden door de provider bij het desinfecteren van zijn computer[287].

 

Hoewel de sanctionering van gebruikers een repressief optreden is, kadert dit onderwerp zich toch in de preventie aanpak van onveiligheid op het internet, omdat via deze maatregel wordt voorkomen dat het kwetsbare systeem van de gebruiker zich verbindt met het internet en op die manier onveiligheid creëert.

 

2.4. Conclusie

 

In dit tweede hoofdstuk werden enkele mogelijkheden aangehaald om op een preventieve manier cybercriminaliteit te vermijden door het voorkomen van onveiligheid op het internet.

 

Als eerste kwam de publiek-private samenwerking aan bod tussen de overheid (en de FCCU) en private organisaties. Bij de beveiliging van de kritische infrastructuren zagen we dat de FCCU haar medewerking verleent bij verschillende werkgroepen en dat de rode draad hierbij gevormd wordt door het nagaan van hoe men op een efficiënte wijze reële dreigingen kan herkennen en voorkomen. Omwille van de recente initiatieven zijn hier echter nog geen resultaten over beschikbaar.

Ook bij de bewustmaking van bedrijven en gebruikers werden enkele initiatieven aangehaald die ervoor moeten zorgen dat bedrijven en gebruikers het belang van veiligheid hoger inschatten dan nu het geval is.

 

Vervolgens werden enkele maatregelen besproken om onveilige software tegen te gaan. Eerst kwam de mogelijke zelfcorrectie van de softwaremarkt aan bod. Hierbij werd open source software besproken waardoor de veiligheid binnen software controleerbaar wordt en de klant/gebruiker zelf de applicatie kan aanpassen en veiliger maken. Ook automatische patchtechnologie kaderde in deze zelfcorrectie. Zij bleek een efficiënte manier te zijn om bij gewone gebruikers pas ontdekte kwetsbaarheden in software te herstellen, maar omdat bedrijven het risico lopen dat een neveneffect van de patch het productieproces in het gedrang brengt, kiezen zij er nog steeds voor om de patch handmatig te installeren. We zagen dat hierdoor een window of exposure ontstaat, die aanleiding kan geven tot zero-day-exploits.

Een andere mogelijkheid om software te reguleren is het opleggen van kwaliteitsstandaarden om de ontwikkeling van veilige software te garanderen. Hierbij werd aangehaald dat het moeilijk is om “veilige software” te definiëren. Kwaliteitsstandaarden kunnen echter wel nuttig zijn als quality checks binnen de risicobeheersing van ontwikkelbedrijven.

Ook het publiceren van beveiligingsfouten behoorde tot de mogelijkheden om onveilige software tegen te gaan. Deze kwetsbaarheden binnen software worden door gebruikers opgespoord met de bedoeling extra druk op de ontwikkelaar te leggen om zo vlug mogelijk de veiligheidslekken te dichten. In dit punt kwam het principe van full disclosure aan bod dat het vlugger uitbrengen van de patch tot gevolg heeft, maar dat ook zorgt voor meer zero-day-exploits.

Tenslotte werd ook het tegengaan van anonimiteit op het internet behandeld. De mogelijkheid werd geopperd om de internetarchitectuur te veranderen zodat iedere gebruiker verplicht zou zijn zichzelf te identificeren alvorens bepaalde handelingen uit te voeren op het internet. Hierbij kwam het recht op privacy aan bod, waarbij de vergelijking werd gemaakt met toegelaten ano- en pseudonimiteit in de fysieke wereld. We haalden hierbij aan dat een veranderde internetarchitectuur rekening moet houden met de balans tussen privacy en de identificatie met het oog op de opsporing en vervolging van criminelen. Ook werd aangehaald dat, met het steeds belangrijker worden van het internet, de identificatie van internetgebruikers steeds meer een noodzakelijke stap wordt binnen de groei van onze informatiesamenleving.

 

Dit hoofdstuk eindigde met enkele maatregelen om de bewustzijnsgraad van gebruikers inzake veiligheid op het internet te verhogen. Hierbij werd verwezen naar de sensibiliseringscampagnes van de overheid en werd de Europese campagne “Safer Internet” voorgesteld.

Tenslotte werd de mogelijkheid behandeld om gebruikers te sanctioneren door ISP’s. Het kwam er in dit punt op neer dat, wanneer gebruikers na een bepaald aantal verwittigingen er niet in slagen om hun computersysteem voldoende te beveiligen, ISP’s het recht hebben om hen de toegang tot het internet voor een bepaalde tijd te ontzeggen.

 

 

ALGEMEEN BESLUIT

 

Deze scriptie begon met een onderscheid tussen cybercriminaliteit en onveiligheid op het internet. De definitie van cybercriminaliteit werd overgenomen zoals deze ook in de strafwetgeving terug te vinden is : het plegen van handelingen waarbij informatica het doel wordt, of het middel is van de criminaliteit. Onveiligheid op internet daarentegen werd gedefinieerd als de mogelijkheid om deze cybercriminaliteit in zijn strafrechtelijke betekenis te plegen.

Hierbij werd ook onmiddellijk het causale verband tussen beide aangegeven. Cybercriminaliteit is het gevolg van onveiligheid op het internet. Cybercriminelen creëren geen onveiligheid, maar misbruiken de aanwezige kwetsbaarheden op het internet die worden veroorzaakt door softwareontwikkelaars, internetgebruikers en het ontbreken van een efficiënt strafrechtelijk apparaat.

Vanuit dit standpunt dient men zich dan ook te realiseren dat cybercriminaliteit en onveiligheid op het internet niet enkel toebehoort tot het domein van delinquenten, politie en justitie, maar een kwestie is die iedere internetgebruiker aangaat.

 

Softwareontwikkelaars dragen bij tot onveiligheid op het internet door de aanwezige fouten (bugs) in hun applicaties. Deze bugs worden op verschillende manieren misbruikt door cybercriminelen. Buffer overflows treden op wanneer de applicatie een toevloed aan gegevens te verwerken krijgt en hiervoor niet genoeg ruimte beschikbaar heeft. Het gevolg is dat de applicatie meer informatie vrijgeeft dan door de ontwikkelaar bedoeld of ontregeld wordt en crasht. Race conditions zorgen ervoor de cybercrimineel de rechten van een andere gebruiker krijgt door een tijdsgebonden verwerkingsproces te manipuleren. Format string exploits en SQL-injections tenslotte laten de cybercrimineel toe om de applicatie te misbruiken door het invoeren van eigen code via de input van het programma.

 

De aanwezigheid van deze te misbruiken bugs kan verschillende oorzaken hebben. Een menselijke vergissing, onwetendheid of het niet kunnen voorzien van de creativiteit van de criminele geest zijn er enkele. Ook de commerciële druk die rust op de schouders van softwareontwikkelaars heeft de hand in de ontwikkeling van onveilige software. In deze scriptie werd Akerlofs lemons equilibrium besproken. In hun strijd om de concurrentiestrijd te winnen en de nieuwe standaarddrager te worden, investeren softwareontwikkelaars tijdens de ontwikkeling van nieuwe software enkel in de elementen die klanten kunnen overtuigen om hun product aan te schaffen. Bijgevolg houden zij enkel rekening met de ontwikkeltijd, de kostprijs en het aantal features van de software, maar besteden zij geen of slechts in beperkte mate aandacht aan veiligheid.

 

We haalden aan dat de aanwezigheid van kwetsbaarheden pas boven water komt nadat het product werd uitgebracht en door een grote groep gebruikers in gebruik wordt genomen, omdat deze software het interessantste doelwit vormt voor cybercriminelen. De kritiek op deze kwetsbaarheden zal niet uitblijven en de softwareontwikkelaar heeft hier een (voor hem) commercieel interessante oplossing voor. De ontwikkelaar zal ervoor kiezen om om de zoveel tijd upgrades uit te brengen, waarin enkel de ontdekte kwetsbaarheden worden weggewerkt. Deze upgrades zijn voor de ontwikkelaar interessant omdat hij op deze manier verdere inkomsten kan blijven behalen uit hetzelfde product.

Omwille van het lock-in effect, die gebruikers de afweging laat maken tussen de kosten en baten van een overstap naar alternatieve, veiligere software, kunnen gebruikers de softwareontwikkelaar onvoldoende straffen voor deze commerciële uitbuiting en blijft onveilige software bestaan.

 

Een volgende (eerder onrechtstreekse) oorzaak van onveiligheid op het internet werd gezocht in het ontbreken van een vlot functionerend, internationaal juridisch kader dat opsporing van cybercriminaliteit mogelijk maakt en waarin de samenwerking tussen de publieke en de private beveiligingssector wordt gereguleerd. Deze bestaat vooralsnog niet, waardoor het moeilijk wordt cybercriminaliteit op een efficiënte manier op te sporen en te vervolgen. Dit vereenvoudigt uiteraard de mogelijkheid om cybercriminaliteit te plegen.

 

Op Europees niveau haalden we het Cybercrime verdrag van de Raad van Europa aan. Dit verdrag tracht dit internationale juridisch kader te vormen, maar heeft nog een te beperkte reikwijdte. Omwille van zijn indirecte werking is het verdrag dan ook enkel van toepassing in de 13 landen die het verdrag ondertekenden en ratificeerden.

 

Er is overigens ook nog steeds nood aan een internationaal juridisch kader waarin de samenwerking tussen de publieke en de private beveiligingssector wordt gereguleerd. Deze behoefte komt vooral uit de private informatiebeveilingssector, die in opdracht van bedrijven vaak opsporingen dient te verrichten in het buitenland. Hierbij zijn zij aangewezen op de vrijwillige medewerking van de betrokkenen. Door een samenwerking kunnen beide sectoren elkaar aanvullen. Terwijl de publieke sector beschikt over het geweldmonopolie, komt de private beveiligingssector de publieke tegemoet met kennis, apparatuur en confidentialiteit.

 

Ook gebruikers dragen voor een groot deel bij tot onveiligheid op het internet. Dit doen zij door het belang van veiligheid ernstig te onderschatten en te weinig maatregelen te nemen bij de bescherming van hun computersystemen.

We zagen dat dit zich ten eerste al uitte in de keuze van een wachtwoord om het eigen systeem en de persoonlijke informatie te beschermen. Om wachtwoorden te kunnen onthouden, stellen gebruikers deze samen aan de hand van korte, eenvoudige woorden en cijfers waaraan een betekenis kan gekoppeld worden. Deze wachtwoorden zijn echter eenvoudig te achterhalen door cybercriminelen door wat gokwerk, via password breakers of via social engineering. Een betere methode om persoonlijke informatie of het computersysteem te beschermen, is gebruik te maken van mnemonische wachtwoorden.

Een belangrijke conclusie was dat gebruikers er pas in slagen om een veilig paswoord te kiezen, wanneer ze voldoende en duidelijk geadviseerd worden hoe het wachtwoord samen te stellen.

 

De lage bewustzijnsgraad van gebruikers inzake onveiligheid op het internet werd ook aangetoond via de Online Safety Study uit december 2005. Uit de technische analyses van dit onderzoek bleek dat een groot aantal gebruikers op een onveilige manier verbinding maakt met het internet, hoewel de gebruikers zelf in de overtuiging leven dat ze voldoende beveiligingsmaatregelen hebben genomen. Ook de aanwezigheid van malware zonder dat de gebruikers dit wisten of een idee hadden wat de malware deed, leidde tot de conclusie dat gebruikers het belang van veiligheid ernstig onderschatten.

 

Dit belang uit zich niet enkel in de bescherming van de eigen gegevens of het eigen systeem. Via de onbeschermde computer van een argeloze gebruiker kunnen cybercriminelen heel wat schade aanrichten bij derden en zelfs de samenleving raken wanneer zij bijvoorbeeld kritische infrastructuren aanvallen.

Vanuit dit oogpunt is het dan ook belangrijk dat iedere gebruiker, ook al heeft die niets te verliezen bij een aanval, voldoende maatregelen neemt om het eigen computersysteem te beschermen. Het internet is tenslotte een digitale vorm van de samenleving en om die te beschermen, behoort veilig internetgebruik tot de plichten en verantwoordelijkheden van iedere gebruiker.

De impact van onveiligheid op het internet werd op individueel en globaal niveau geanalyseerd. Op individueel niveau kan iedereen (overheidsinstellingen, bedrijven en gebruikers) die zich verbindt met het internet op een rechtstreekse of onrechtstreekse manier slachtoffer worden van en schade ondervinden door cybercriminaliteit.

Maar ook op globaal niveau ervaart de samenleving schadelijke gevolgen van onveiligheid en cybercriminaliteit. De ICT-infrastructuur behoort tot de kritische infrastructuren in ons land die, wanneer ze zouden wegvallen, een verzwakkende invloed zouden hebben op het sociaal en economisch functioneren en de nationale veiligheid. Over wat de gevolgen zouden zijn mocht het internet daadwerkelijk wegvallen, is weinig geweten. Toch kan men, gezien de vele verbindingen met ander kritische infrastructuren, de hypothese maken dat ons land in een zware crisis zou terecht komen, mocht het internet daadwerkelijk voor langere tijd niet meer beschikbaar zijn.

 

Vervolgens werd een poging gemaakt om een beeld te krijgen van de economische schade die cybercriminaliteit veroorzaakt. Dit gebeurde aan de hand van het Computer Crime and Security Survey. Omdat dit onderzoek werd gehouden onder gebruikers die reeds over een hoge graad van veiligheidsbewustzijn beschikken, is het moeilijk om de conclusies van dit onderzoek te veralgemenen. Toch helpt het onderzoek om een idee te krijgen van de enorme economische verliezen die cybercriminaliteit met zich meebrengt.

 

In het laatste deel van deze scriptie werd de aanpak van onveiligheid en cybercriminaliteit besproken. Een repressieve aanpak werd kort besproken aan de hand van de bestaande strafwetgeving inzake informaticacriminaliteit. Hierbij zijn echter een aantal beperkingen op te sommen. Een groot deel cybercriminaliteit wordt vooreerst al niet ontdekt, en wanneer inbreuken toch ontdekt worden, blijken weinig slachtoffers melding te maken bij de politie. Zij leven in de overtuiging dat dit maar weinig nut heeft of omdat, in het geval van bedrijven, dit het productieproces kan hinderen.

 

De opsporing en het verzamelen van bewijsmateriaal zijn een volgend knelpunt in het repressieve optreden. Omdat het nog steeds ontbreekt aan een internationaal juridisch kader, verloopt de samenwerking tussen verschillende staten niet vlot genoeg. De procedure van rogatoire opdrachten duurt nog steeds te lang in verhouding tot de beperkte bewaring van bewijsmateriaal door telecom-operatoren.

 

Een ander obstakel is de anonimiteit op het internet. In deze scriptie werden verschillende niveaus van identificatie aangehaald, met verschillende graden van anonimiteit. Door de combinatie van deze verschillende niveaus wordt de identificatie van een gebruiker een complexe en tijdrovende taak.

De technologische complexiteit, de anonimiteit en de moeilijke internationale samenwerking zorgen er voor dat slechts een beperkt aantal cybercriminelen worden opgespoord en een nog kleiner aantal vervolgd. Bijgevolg blijft het grootste aandeel cybercriminaliteit op het internet onbestraft.

 

Om hieraan tegemoet te komen kan met private beveiligingsfirma’s worden samengewerkt, doch dit wordt nog niet voldoende juridisch ondersteund. We zagen dat de FCCU via het IFA forensisch verantwoorde methoden meegeeft aan de private beveiligingssector om niet geconfronteerd te worden met “vertrappelde” sporen en bewijsmateriaal.

 

Omwille van de moeilijkheid om via een repressief optreden onveiligheid en cybercriminaliteit tegen te gaan, werd geopteerd voor een preventieve aanpak. Als eerste kwam de publiek-private samenwerking tussen de overheid en private organisaties aan bod.

We zagen dat bij de beveiliging van de kritische infrastructuren de FCCU haar medewerking verleent bij verschillende werkgroepen, waarbij men tracht na te gaan hoe men op een efficiënte wijze reële dreigingen kan herkennen en voorkomen.

Verdere samenwerking situeert zich op het gebied van het verhogen van de bewustzijnsgraad omtrent veiligheid bij bedrijven en gebruikers. Hierbij kwam onder andere de nieuwe Telecomwet aan bod die ISP’s verplicht om gratis beveiligingssoftware te leveren aan hun klanten, evenals de Peeceefobie-actie van minister Vanvelthoven.

 

In een volgend punt werden enkele mogelijkheden aangehaald om de ontwikkeling van onveilige software tegen te gaan.

Er werd nagegaan in hoeverre de softwaremarkt zichzelf kon corrigeren aan de hand van open source software en automatische patchtechnologie. Open source software staat niet garant voor veilige software, maar zorgt ervoor dat het lemons equilibrium verdwijnt en de software kan gecontroleerd en zelfs gecorrigeerd worden op de aanwezigheid van beveiligingsfouten. Automatische patchtechnologie bleek interessant te zijn voor de gewone gebruiker, maar houdt een risico in voor bedrijven. De kans bestaat dat een neveneffect van de patch het productieproces verhindert, waardoor bedrijven patches enkel handmatig zullen installeren. Hierdoor wordt een window of exposure gecreëerd, die aanleiding kan geven tot zero-day-exploits.

 

Onveilige software kan ook tegengegaan worden door het opleggen van kwaliteitsstandaarden. We zagen dat, ondanks de moeilijkheid om “veilige software” te definiëren, zij toch nuttig kunnen zijn als quality checks binnen de risicobeheersing van softwareontwikkelaars.

 

Een volgend punt was het publiceren van beveiligingsfouten. Om softwareontwikkelaars te dwingen zo vlug mogelijk alle kwetsbaarheden uit hun applicaties te weren, gaan veiligheidsbewuste gebruikers zelf onveiligheden opsporen en deze bekend maken. Hierbij kwam het principe van full disclosure aan bod zoals deze voorkomt bij groeperingen zoals Bugtraq. Bij full disclosure worden de gevonden bugs onmiddellijk en met een volledige toelichting gepubliceerd om een extra druk te creëren bij de ontwikkelaar. Hierdoor wordt echter een window of exposure gecreëerd, die zorgt voor een toename van zero-day-exploits.

 

We behandelden ook de mogelijkheid om de internetarchitectuur te veranderen en gebruikers te verplichten zichzelf te identificeren alvorens bepaalde handelingen uit te voeren op het internet. Deze maatregel moet de opsporing en vervolging van cybercriminaliteit vereenvoudigen en dient dus ook in zekere zin als afschrikking voor de “kleine” cybercriminaliteit die wordt gepleegd door gewone internetgebruikers.

Hierbij kwam ook het recht op privacy aan bod. De vergelijking werd gemaakt met de fysieke wereld waarin bepaalde handelingen toegelaten zijn om anoniem of onder een pseudoniem plaats te vinden. De stelling werd dan ook geponeerd dat bij een vernieuwde internetarchitectuur de balans moet worden gevonden tussen privacy en identificatie met het oog op opsporing en vervolging van cybercriminaliteit en dat deze handelingen die toegelaten zijn in de fysieke wereld, ook anoniem of onder een pseudoniem moeten kunnen plaatsvinden in de digitale wereld.

Hoewel een nieuwe internetarchitectuur nog niet voor de nabije toekomst is, dient men zich toch te realiseren dat dit er ooit aan dient te komen, gezien de ontwikkeling van onze informatiesamenleving en het steeds groeiende belang van het internet.

 

Als laatste punt werd, om de lage bewustzijnsgraad van gebruikers inzake veiligheid op het internet te verhogen, het belang van sensibiliseringscampagnes aangehaald, evenals de mogelijkheid om gebruikers te sanctioneren door ISP’s wanneer zij er na een bepaald aantal verwittigingen niet in slagen om hun computersysteem voldoende te beveiligen.

 

Concluderend kunnen we dus stellen dat de dreigende schaduw die door cybercriminaliteit wordt geworpen op individuen, de wereldeconomie en de samenleving, niet enkel afkomstig is van cybercriminelen, maar ook wordt gevormd door softwareontwikkelaars in hun streven naar winst, achteloze gebruikers die het belang van veiligheid niet voldoende weten in te schatten en het ontbreken van een internationaal juridisch kader waarin opsporing en vervolging op een vlotte manier plaatsvindt. Bijgevolg ligt de verantwoordelijkheid voor de zware economische gevolgen en de reële dreigingen die op onze kritische infrastructuren rusten, in de handen van eenieder die zich verbindt met het internet. Om hieraan tegemoet te komen is het dan ook essentieel dat iedere betrokkene die ook maar iets met de vorming of het gebruik van het internet te maken heeft, voldoende wordt geïnformeerd en gesensibiliseerd over de mogelijke risico’s en gevaren die een onveilig internetgebruik met zich meebrengt.

 

 

BIBLIOGRAFIE

 

Wetgeving

 

Rapporten en jaarverslagen

 

Boeken

 

Tijdschriften

 

Krantenartikels

 

Internet

 

Interviews

 

LIJST VAN GEBRUIKTE AFKORTINGEN

 

BIPT – Belgisch Instituut voor Postdiensten en Telecommunicatie

Het Belgisch Instituut voor Postdiensten en Telecommunicatie is het instituut dat in België belast is met de coördinatie van een beleid inzake veiligheid op het internet. Het BIPT wordt hierbij bevoegdheden toegekend die hen toelaten om telecom-operatoren te verplichten bepaalde maatregelen te nemen in het kader van de beveiliging van hun netwerken en de aanlevering van hun diensten.

 

DDoS – Distributed Denial of Service

Een DDoS aanval start bij de infectie van verschillende computersystemen door malware. Deze geïnfecteerde systemen (zombies) vormen zich in een netwerk (botnet) rond een command and control server. Deze server wordt gecontroleerd door de cybercrimineel die de malware verspreidde en kan de zombies bepaalde instructies laten uitvoeren, zoals bijvoorbeeld het aanvallen van een bepaalde server. Dit houdt in dat alle zombies gelijktijdig verbinding maken met de aan te vallen server, waardoor deze een overvloed aan informatie te verwerken krijgt en crasht. Het gevolg hiervan is dat de diensten van deze aangevallen server niet meer beschikbaar zijn voor gebruikers.

 

FCCU – Federal Computer Crime Unit

De Federal Computer Crime Unit is de politiedienst die instaat voor de bestrijding van computercriminaliteit. Zij situeert zich op nationaal niveau en maakt deel uit van de Directie voor de Bestrijding van de Economische en Financiële Criminaliteit (DGJ/DJF).

De FCCU staat in voor de opvolging van computergerelateerde criminele fenomenen en activiteiten en het bieden van technische ondersteuning bij onderzoeken binnen een geautomatiseerde omgeving. Daarnaast heeft zij ook een belangrijke taak op het vlak van adviesverlening aan de overheid, de bedrijven en de gebruikers omtrent de dreigingen op, en de beveiliging van informatie- en communicatiesystemen.

 

ICT – Informatie- en Communicatietechnologie

ICT is het verzamelwoord voor alles wat zich met informatiesystemen, telecommunicatie en computers bezighoudt. Hieronder valt het ontwikkelen en beheren van systemen, netwerken, databanken en websites evenals het onderhouden van computers en programmatuur en het schrijven van administratieve software.

 

IFA – Instituut voor Forensische Auditoren

Het Instituut voor Forensische Auditoren werd in 2000 opgericht en vormt forensische specialisten die, in het kader van financiële en fiscale fraude, in bedrijven opsporingen gaan verrichten.

 

ISP – Internet Service Provider

Een ISP is een bedrijf of organisatie dat gebruikers de toegang tot het internet aanbiedt evenals enkele internetgerelateerde diensten zoals e-mail en usenet. Belgische ISP’s zijn bijvoorbeeld Belgacom en Telenet.

 

 

BIJLAGEN

 

1. Gesprek met Filip Maertens, vice-president Ysecorp, Meulebeke, 28 december 2005

 

T.L. : Wat is Ysecorp ? Wat doen jullie ? Uit wie bestaat het ? Hoe gaan jullie te werk ?

 

F.M. : YSECORP is een onderneming die zich toespitst op het verlenen van advies en technologie inzake veiligheid.  Hierbij is "informatiebeveiliging" een integraal onderdeel in.  Andere diensten hieronder worden omschreven als onderzoek, ...  Projecten zijn, bvb., het leveren van "border security" aan een land tot het opzetten van "computer crime centers" voor een land, etc.  Het doelpubliek van YSECORP is dus duidelijk nationale en militaire instellingen.


Naast YSECORP, bestaat UNISKILL.  UNISKILL nv is de onderneming - waar ik tevens aandeelhouder en partner in ben - die zich *uitsluitend* met informatiebeveiliging en "intelligence" bezig houdt.  Hier zijn we voornamelijk sterk aanwezig in de financiële, energie en telecom sector.  Een belangrijk aspect van ons is "Integrity Services".  Dit zijn de diensten waar jij het meeste bij gebaat bent, en omvatten, o.a. fraud management, computer forensics, intelligence frameworks, pre/post employment screening, ...


De relatie tussen YSECORP en UNISKILL is erg transparant en eenvoudig; alles wat met informatiebeveiliging te maken heeft en dat via YSECORP binnen komt, wordt exclusief aan UNISKILL doorgegeven.  De opsplitsing is dus louter een commerciële.


Met deze Integrity Services zijn we zowel preventief (bvb. fraude sensibiliseringscampagnes, fraud risk management processen inbouwen), detectief (bvb. outsourcen van fraude detectie mechanismes, ...) als reactief (bvb. het voeren van onderzoek, ...).  De aanpak is een discussie op zich, en deze kan het beste gevoerd worden met dhr. Frederik Verhasselt.  Deze is een mede zakenpartner, trekker van het deel "Integrity Services" en aandeelhouder in het verhaal.  Je kunt hem gerust aanschrijven met mijn groeten.  Hij zal je ook met plezier te woord staan.

 

In je e-mail vertelde je me één en ander over standaarden zoals Basel II en Sox, over diens whistleblowing-principes en dat je daar niet zo'n voorstander van was en dat de SOX door de US-overheid werd opgelegd.


Basel II is een richtlijn inzake het beheersen van het operationele risico, naast andere risico domeinen (bvb. juridische risico, etc.).  Deze richtlijn is van toepassing op alle instellingen in de bancaire/financiële wereld (bvb. ING, KBC, ...).  Deze richtlijn is echter vrij vaag en is voor een vrij brede interpretatie vatbaar.  Het is geen set van vaste richtlijnen.  Basel II is gratis te downloaden op het Internet.  Sarbanes-Oxley (of kortweg SOX) is de richtlijn onder de Bush administratie die US SEC beursgenoteerde bedrijven verplicht om aan een set van stringente richtlijnen te voldoen om de integriteit en betrouwbaarheid van hun cijfers te garanderen (lees: management fraude, etc. te beperken).  Deze richtlijn is verplicht, ook voor EU bedrijven die bvb. een branch office hebben die in de US SEC genoteerd is...  SOX
wordt aanzien als een enorm belastende inspanning...


Een van de - vele - richtlijnen is het hanteren van het whistleblowing principe, waarbij door middel van een anoniem meldpunt er incidenten, bedreigingen, etc. kunnen gemeld worden.  Ik ben persoonlijk achterdochtig voor dergelijke maatregelen omdat het een eerste en
gemakkelijke stap is naar het scheppen van een bedrijfsomgeving waar paranoia heerst, en waar een latente onbetrouwbaarheid onder het personeel als een gif kan insluipen.  De grens tussen "verklikken" en "eergetrouw melden" wordt dan soms erg dun.  Het positief belonen/bekrachten van dergelijke inspanningen, kan dan enkel maar gezien worden als olie op het vuur om een volledig verkeerde bedrijfscultuur te doen ontvlammen.


[...]

 

De oorzaken van het onveiligheidsprobleem. U had mij gemaild dat de commerciële druk...

 

Ja, dat was dus specifiek over die producten en technologie die onveilig waren.

 

... dan gebrek aan een cybercrime verdrag. Nu, ik heb wel het cybercrime verdrag van de Raad van Europa teruggevonden.

 

Inderdaad. Dat is waar en dat bestaat ook. Als je op Europees niveau zit, zit je goed. Maar eens je geconfronteerd wordt met aanvallen van bvb. uit Japan, dan zit je in de problemen. Die hebben niets rond auteursrechten, of iets anders, laat staan dat ze u zullen helpen. Eerlijk gezegd, dat cybercrime verdrag, dat is een goede stap in de goede richting alleszins. Dat moet er gewoon nog komen. Maar het is niet bindend. Dat is een goeie maatregel, en zeker bvb...

 

Vorig jaar heb ik een analyse moeten maken over de wetgeving van Nederland rond computercrime. Die zijn volledig compliant met de richtlijnen van Europa, dus uiteindelijk is dat een actuele, lokale adaptatie van het cybercrime verdrag onder andere. Dat is redelijk goed uitgewerkt. Maar uiteindelijk, onze eigen computercriminaliteit wetgeving is ook wel goed, vind ik. Die zit goed in elkaar, het doet zijn ding. We kunnen er mee vervolgen en bestraffen. Dat is al gebeurd overigens, daar bestaat wel jurisprudentie rond.

 

En dan tenslotte de bedrijven en de gebruikers die zich niet bewust zijn van eigen plichten en verantwoordelijkheden. Zijn er anders nog mogelijke oorzaken ?

 

Eigenlijk komt het daar een beetje op neer. Eerst rond technologie bijvoorbeeld. Ik kan daar zelf nog weinig meer aan toevoegen. Ik ervaar zelf dat die commerciële druk heel hoog is bij bedrijven en ik denk dat dat één van de voornaamste redenen is waarom er onveiligheden in software zit. Komt daar nog eens bij de complexiteit van de code. Hoe complexer de code, hoe meer fouten er in zitten.

 

Over programmeren gesproken, van stack overflows is al jaren geweten dat het de voornaamste bug is in software, toch komt die nog steeds voor.

 

Inderdaad, dat is inherent aan alle programmeertalen die compileren. Alles wat compileert is onderhevig aan dat soort fouten. Maar je hebt 3 grote : buffer overflow, stack overflow, ... wat dat betreft heb ik een goeie referentiesite over. Je moet eens zoeken naar de paper van Aleph One. Over “Smashing the stack for fun and profit”. Dat is hét referentiewerk, daar is het allemaal mee gestart.

Je hebt dan nog heap overflows, ... je kunt er heel ver in gaan. Daarnaast heb je nog eens race conditions. Zoals bvb. in Unix .pass id bvb. . Op een bepaald moment moet hij root priviliges gaan krijgen, want hij gaat uw shell in bvb. unix gaan aanpassen. Op een bepaald moment moet dat gebeuren, anders kan dat niet. Op het moment dat uw password uw root privilige begint te krijgen, maakt hij bvb. een temporary file aan. Dan zou je, heel hypothetisch, een ander programma-tje kunnen hebben, dat constant die temporary file gaat gaan zoeken. Vindt hij die, dan kan hij die manipuleren met een eigen paswoord, dat hij er zelf in stopt. Dat is bvb. een race condition. De 2 programma’tjes die draaien : wie de race wint, heeft gewonnen dus :)

Dat zijn de meest makkelijke, dat is tijdsgebonden.

 

Je hebt dan ook nog format string exploits. In C heb je bvb. een printf, bvb : printf(%s) of zo. Wanneer de inputfilter niet goed werkt, dan kan ik daar, bij de input, een gans andere paramater gaan van maken, bvb. %s %t. Want uiteindelijk, mijn input wordt in die %s gestoken, maar ik stop er zelf nog eens een percentteken in. Uiteindelijk gaat de executie van dat programma gaan kapotlopen. Daarin kun je ook nog hex-code stoppen, die uiteindelijk je stack gaan manipuleren. Als je zoekt naar bufferoverflow, format exploits en race conditions, heb je ongeveer 90% van de applicatie onveiligheden. Maar met de komst van mac-applications, heb je nog sql injections die in feite een variant zijn van format strings. Want een sql injection is in feite ook niets meer dan wat je als gebruiker ingeeft. Dat is zodanig te manipuleren, dat, als dat gekopieerd wordt in een sql-query, dat je die query gaat uitbreiden. Dat is een beetje hetzelfde principe.

 

Je hebt dan nog verder cookie-manipulations. www.oasp.org is daar een goede referentiesite rond.

 

Dat zijn dingen die op te lossen zijn en waar we ons bewust van zijn. De meeste programmeurs zijn zich echter niet echt bewust van de mogelijke implicaties, omdat ze bijvoorbeeld een inputfilter gaan moeten opstellen. Dat is iets wat er bij komt, dat doe je op zich al niet zo graag. Maar als je klasses kunt maken, die dat in routines doen. Ik denk niet dat dat zoveel werk meer bij vraagt. Het is een kwestie van een bibliotheek te maken, met input filteringen, ... en in de meeste programmeertalen zit dat nu ook al.

Het is een stuk van onbewustheid bij de programmeur, maar voornamelijk druk van het bedrijf zelf, van dat moet hier af zijn. Zeker in complexe omgevingen. Bvb. Microsoft. Office boks je ook niet in elkaar met 2 man.

 

Maar in theorie zou het mogelijk zijn om 100% veilige software te maken ?

 

In theorie is dat mogelijk, ja. In theorie is het mogelijk om een applicatie volledig veilig te maken en dan ga je computercriminaliteit, of toch tenminste, waar informatica als aanvalsfactor wordt gebruikt, gaan elimineren. Maar er zijn nog andere vectoren. Boekhoudkundige fraude, managementfraude, ... dat zijn aspecten die je sowieso los van informatica kunt doen.

 

Uiteindelijk gebeuren er niet zoveel nieuwe dingen. Bestaande misdaad wordt verder gezet. Managementfraude, bvb, gaat blijven bestaan. Het is niet omdat het nu via de pc gebeurt dat het nieuw is. Het is natuurlijk wel makkelijker geworden met computers. Je kunt je sporen beter verbergen of met boekhoudkundige programma’s gaan werken die zwarte boekhouding toelaten en dergelijke meer. Of kassasystemen ook toelaten. Dat is schering en inslag.

Enkel wanneer de computer het onderwerp van de aanval wordt, heb je eigenlijk te maken met nieuwe criminaliteit. Bvb. hacking.

 

Het is vooral het gebrek aan bewustzijn van bedrijven. Niet zozeer personen. Want stel bvb, dat je bij Belgacom gaat gaan werken volgend jaar, of bij Electrabel bvb., jij bent je wel bewust van het fenomeen. Maar uiteindelijk, wanneer het bedrijf, of de raad van bestuur er zich niet van bewust is, ... uiteindelijk is dat onzin. Security counsels oprichten, information security managers aanstellen. Dat is complete onzin. Wanneer de raad van bestuur zich niet bewust is van het nut ervan, gaat er gewoon niets gebeuren. Ze gaan iemand aanstellen, maar wat gaat die mens mogen doen ? Antivirusprogramma’s installeren. Dat is dweilen met de kraan open. Daar ga je het niet mee redden.

 

De raad van bestuur is zich niet bewust dat door het implementeren van informatiebeveiliging hun kern activiteiten, en dat is op het einde van de rit hun centen, beveiligd worden. Het bewustzijn is er nog niet, jammergenoeg. Het is pas wanneer ze iets meemaken dat ze er eens gaan aan denken.

 

En zo komen we bij mijn volgende vraag : hoe pak je onveiligheid aan ? Sensibiliseren ? Bewust maken ?

 

Ja, vooral dat uiteindelijk. Vroeger gingen we vooral technisch beginnen, penetratietests gaan uitvoeren door geconverteerde hackers, zogezegd. Maar daar doe je het nu niet meer mee. Je kunt dat trouwens automatiseren. Maar het is voornamelijk het sensibiliseren van de mensen die de organisatie sturen.

 

Het sensibiliseren is echt belangrijk, en mensen gaan niet altijd even vlug een firewall, een virusscanner, ... installeren. Microsoft stelt dikwijls upgrades en updates ter beschikking, maar die worden ook niet altijd vlug geïnstalleerd.

Dan kom je bij patchen. Bedrijfleiders laten niet vlug toe dat productiemachines worden stilgelegd omwille van een patch. In het verleden is dat al dikwijls gebeurd : je installeert een patch en het systeem werkt niet meer. Ik kan mij voorstellen dat bvb. KBC daar niet om kan lachen.

Microsoft laat, wat is het ? de eerste woensdag van de maand, patches uitkomen. Of om de week, ik weet het nu zelf niet. Dat verandert nog eens.

Maar de meeste bedrijven willen eerst, voordat ze gaan pachten, gaan testen of hun machines nog werken na het installeren van de patch. Met andere woorden, je zit dan met een window of vulnerability, of ook window of exposure genoemd. Wat wil zeggen dat je je bewust bent van het gat, maar dat je het niet kan dichten, omdat je dat proces moet doorlopen van testen, acceptatie en uiteindelijk implementatie van uw patch op uw systeem.

Meestal lees je dan iets van onbegrip, zeker in het geval van Redattack geweest, “en die bedrijven hebben al dat geld, en ze patchen hun systeem niet, ...”. Die criticasters begrijpen gewoon niet hoe een bedrijf werkt. Een bedrijf gaat niet zomaar een patch gaan installeren.

Uiteindelijk is het bedrijf zich soms wel heel bewust van het risico dat ze zich soms lopen, maar het is gewoon zo dat het moet gaan.

 

En eerlijk gezegd, het gaat niet op die week komen. Totdat een vulnability wordt gevonden, dat circuleert eerst in de zero-day-sferen. Door ons werk kennen we genoeg groeperingen die daar mee bezig zijn, die zelf private research doen naar nieuwe vulnerabilities, maar die niet gaan uitbrengen. Dat circuleert dan tussen individuen die het dan heel leuk vinden om zoveel mogelijk slachtoffers te maken.

 

Dat is dan wat bvb. met blaster is gebeurd ?

 

Nee, uiteindelijk niet, want Blaster was door de te trage respons van Microsoft.

 

Ach, het was dan niet door zo een groeperingen dat het onveiligheidslek werd gevonden?

 

Jawel, uiteindelijk start het allemaal daar mee. Maar er is een kwestie van... je hebt een bepaalde ethische code van, stel dat jij iets vindt, dan ga je je er hopelijk aan houden om dat te rapporteren op een mailinglist zoals bugtraq en full disclosure en dergelijke meer. Of dat eerst te rapporteren aan Microsoft, een maand te wachten en dat dan te gaan rapporteren. Op die manier heeft Microsoft een maand tijd om daar rond een patch te gaan maken. En daarna kan je het publiek gaan rapporteren, want dan heb je onmiddellijk de oplossing die erbij kan geleverd worden. Maar je hebt van mensen die zeggen van : “screw microsoft, we gaan dat gewoon publiek maken”. Of nog erger, die het niet eens publiek maken en enkel meedelen aan de eigen kleine hackercommunity en dat is wel heel gevaarlijk.

Er is nu een bepaalde groepering actief, Ty... Ring, en die,... dat is een vraag die komt vanuit diverse inlichtingendiensten van : wie zijn die mannen ? Want de aanvallen komen vanuit China, Japan, ... Azië en die kerels slagen er in om heel snel ergens binnen te breken, om informatie te stelen en vlug weer weg te gaan. Zonder al te veel sporen achter te laten. Zelfs op volledig, goedgepatchte systemen. Dus uiteindelijk zijn dat mensen die zeer actief bezig zijn met zero-days-exploits te gaan schrijven en te onderzoeken. Om te kunnen binnenbreken.

Stel dat je je ervan bewust bent als onderneming, als je dan nog een week te laat bent met je patch, dat gaat het grote verschil niet maken.

Het gaat wel het grote verschil maken als er dan een worm rond geschreven wordt.

 

Maar die patchtechnologie is wel goed ?

 

Ja, dat is wel goed. Dat hoor je mij niet zeggen. Dat is wel goed.

 

Omdat dat ook een vorm is van zelfcorrectie, net als open source, die uiteindelijk zelf de onveiligheid gaat wegnemen.

 

Inderdaad. En uiteindelijk, je moet het in zijn nut zien. Dat patch-systeem is goed voor mensen zoals jij en ik. Voor de eindgebruikers.

Wij kunnen er mee leven, als een patch onze webserver even niet goed meer doet draaien. Toch op onze thuismachines. Voor de eindgebruiker is dat een héél goed systeem. Maar voor bedrijven zou je het anders moeten aanpakken.

 

Hoe zou je het dan wel moeten aanpakken voor bedrijven ?

 

Uiteindelijk bestaat er niets beter. Automatische distrubutie van patches is... het enige wat je nog zou kunnen automatiseren is die test en acceptatie, maar...

Als je dat zou kunnen automatiseren zou je dat in een uur kunnen doen, wat al super zou zijn. Maar dat wil zeggen dat je als onderneming al uw technische processen die bvb. op een webserver draait, moet gaan inventariseren, dat je al je netwerktraffiek moet gaan inventariseren, ... en daarmee een exhaustieve checklist moet gaan rond bouwen. Nu, als dat programma-tje ervoor zou kunnen zorgen dat al die checks positief zijn, dan zou dat willen zeggen dat die patch, in theorie, goed is om geïmplementeerd te worden. Dan zou het eventueel automatisch kunnen. Je hebt daar al software, solutions voor, maar daar is nog steeds een menselijke weigerachtigheid tegenover. We doen het dan nog steeds liever zelf. Dat is iets typisch menselijks.

 

Hoe het onveiligheidsprobleem aanpakken ? Privé-publieke samenwerking las ik in je mail ?

 

Ja, omdat toch iets is dat toch eraan dient te komen. De privé heeft nu bepaalde bevoegdheden niet, maar heeft wel de kennis. Privé-bedrijven zoals Ysecorp en I-force, ...

 

Wij kunnen u nu wel bevragen, wat we dan in een dossier kunnen stoppen bij remediatie-hof of zoiets. Stel nu, je hebt iets verkeerds gedaan, dan kan ik je als manager bevragen en jij zegt, ik heb pedofilie-plaatjes. Okee, Je krijgt je C4 ben je daar akkoord mee, ben je daar niet akkoord mee, okee we gaan moeten gaan remediëren. We kunnen het nog steeds in de privé houden.

Maar als jij heel kwaadwillig bent, dan kunnen wij niet veel doen natuurlijk.

 

En eigenlijk hacking en botnets oprollen en dergelijke, vanuit de publieke sferen gaat dat makkelijker. Zij kunnen huiszoekingsbevelen gaan uitschrijven, wij kunnen enkel aan de bel trekken en heel vriendelijk vragen of we eens binnen mogen komen.

Die bevoegdheden hebben wij niet. We kunnen niemand aanhouden, ...

 

Ik denk niet dat er één enkel privaat bedrijf is die ervoor pleit om dergelijke bevoegdheden te krijgen, maar wel moet er een wisselwerking tussen beide zijn. Stel dat we een klant hebben, maar die wil niét hebben dat zijn dossier publiek wordt, maar je hebt bepaalde bevoegdheden zoals ondervraging of huiszoeking nodig. Dat kunnen we niet, we kunnen je niet meer verder helpen.

Wij hebben nu wel enkele persoonlijke relaties met mensen uit de publieke sector en onderzoeksrechters. Dan kunnen we wel vragen van : laat dit dossier niet voor komen, maar we kunnen wel huiszoekingen gaan uitvoeren.

 

Ik ben van mening dat er ooit zo’n regeling moet komen, dat de publieke sector tegemoet komt aan de private sector rond confidentialiteit en dat wij hen kunnen bijstaan rond techniciteit, want wij hebben de kennis en de hardware en de software. Wij hebben een enorm arsenaal aan tools die we kunnen gebruiken, wat zij dan weer niet kunnen kopen, of niet kunnen hanteren. Wij moeten ook bijscholingen en dergelijke volgen. wij moeten dat doen, of anders verkopen we niets meer. Dat ligt voor de publieke sector anders.

 

In de UK staan ze daar iets verder mee. Dat is nog niet geregeld, maar ze zijn daar actief mee bezig. Er is al welwillendheid van beide partijen. En er wordt ad hoc al samengewerkt. Terwijl hier in België zie ik dat nog niet onmiddellijk gebeuren. Maar dat moet er toch echt wel komen. Anders ga je privatiseringen gaan doortrekken in de zin dat het niet meer hoort.

Privatisering is een commercieel iets. Dan vrees ik er voor dat er zich toestanden gaan voortdoen, zoals bedrijfsleiders die ons de opdracht geven, dat gebeurt trouwens nu al,  “kijk dit is het incident, je hebt hier zoveel geld, los dat op, het is mij om het even hoe. Zorg gewoon dat het opgelost raakt”. Zelfs al zou je daar, bij wijze van spreken, een moord voor moeten plegen. Los het gewoon op.

En ik vrees dat er zich uiteindelijk wantoestanden gaan voordoen.

 

[...]

 

Bij de aanpak van onveiligheid, wie reguleer je dan ? Softwareproducenten ? ISP’s ? De eindgebruiker ?

 

Softwareproducenten, tot daar aan toe. Als we spreken over de commerciële druk, die zal altijd blijven bestaan en ik denk niet dat het veel zin heeft om die te gaan reguleren. Blijf er ver van weg.

Maar dat er een code zou moeten komen rond, bvb. elk bedrijf doet quality-checks, en doet controle op zijn software, op zijn producten, gaande van een vrachtwagen tot software, dat er daar al een insteek gevormd wordt rond risicobeheersing. Bij de planning van het project al beginnen denken aan bepaalde risico’s.

Dat je denkt van, bvb. we moeten een database gaan aanleggen, ah ja, een database, zitten daar persoonsgegevens in ? dan moeten we gaan denken aan privacy enhancing technieken dan. Volgens de richtlijnen ook van Europa. Die gaan we moeten toepassen. Dat we daarrond al beginnen te denken.

Databases, we gaan die moeten vullen, er gaat dus een input moeten zijn, ah, inputcontrole, ... dat zo’n dingen al ingebouwd worden.

En dat is een domein die ook in de ISO wordt aangekaart onder system development lifecycles.

 

Dus het ontwikkelingsproces beveiligen, maar je moet dat ... wat er ook niet werkt, is nieuwe constructies gaan opzetten in organisaties, nieuwe processen gaan opbouwen binnen bedrijven, daar ga je echt heel veel tegenkanting van krijgen. Maar gebruik de bestaande kwaliteitscontroles en voer daar controle’s in, specifiek naar security-gerelateerde fouten.

Dus dat moet niet iets zijn wat gereguleerd wordt, ik weet niet hoe je regulatie ziet, maar dat moet intragereguleerd worden, vanuit de organisatie zelf. Volgens mij toch. Dat is voor software.

 

ISP’s, telecom, ... dat is uiteindelijk een kritische infrastructuur. Wat we nog niet zien is dat er bepaalde richtlijnen zijn, op Europees niveau,  rond critical infrastructures, zijnde telecom, bank, energie, voedselproducenten en leveranciers, ... Logistiek allemaal kritische infrastructuren, componenten van een land. Als die plat gaan ... Ik denk dat België ongeveer 3, 4 dagen zonder elektriciteit zou kunnen, maar daarna wordt het enorme ellende. Voedsel gaat bederven, ... Crisis kortom.

 

Maar dat is allemaal nog niet echt gereguleerd. En dat zou gereguleerd moeten worden, enerzijds vanuit Europa, met dan specifiek orgaan ENISA dat zich als thinktank bezighoudt met informatiebeveiliging, en anderzijds ook door beroepsverenigingen, bvb. voor elektriciteit: EGE Electricity & Gas Europe. Van daaruit zou dan eventueel kunnen doorgedrukt worden van “kijk, daar moeten we aan denken, dat zijn de richtlijnen die we doordrijven”.

 

Dus uiteindelijk, ISP’s, die moeten gereguleerd worden, volgens mij, logboekretentie en dergelijke meer, maar vervat dat dan onmiddellijk onder de grote noemer van critical infrastructures. Telecom in de grootste zin van het woord.

 

En zouden ISP’s zelf mogen gebruikers gaan straffen, die bvb. geen firewalls of virusscanners gebruiken, of als ze virussen al dan niet bewust, doorsturen, door ze tijdelijk af te sluiten van het internet ?

 

Ja, maar dat zijn typisch technische maatregelen die perfect mogelijk zijn. Maar... hmmm, dat is een goede vraag.

Wat kun je er uiteindelijk op tegen hebben ? Hmmm, dat er uiteindelijk iemand anders beslist over je vrijheid voor een stuk. Maar dat is eigen aan regulering natuurlijk, je hebt je te houden aan de regels.

Aan de andere kant, als ze het technisch willen spelen, dan moet je ook kijken naar de technische implicaties ervan. Stel dat er een zero-day-exploit gevonden wordt, dat niemand anders weet en daar wordt dan een worm rond gemaakt. Wat gaat er gebeuren ? Patroon dat die worm genereert gaat herkend worden. Intrusion detection systems gaan dat opnemen en gaan dat uploaden in hun signature databases en dergelijke meer. Cisco apparatuur en de nieuwe US’en kunnen daarmee gaan communiceren en kunnen u inderdaad gaan afblokken, of ISP’s kunnen u gemakkelijk gaan afblokken. Maar als jij geen patch hebt, wat ga jij doen ? Dan ben je geïsoleerd voor een maand. Je kan ze niet gaan afhalen van het internet.

En dat is écht wel een regel : een vulnerability is er altijd eerst en dan komt de patch en in die optiek zou ik het, vind ik het technisch, het is één van de denkpistes, maar ik denk dat je er voorzicht moet in zijn om zoiets te gaan toepassen.

 

IN een bedrijf, kun je dat wel gaan toepassen. Want uiteindelijk in een bedrijf heb je het zelf onder controle. Ik zou er niet mee kunnen leven dat bvb. een ISP mij zou afblokken. Ik zou er wel mee kunnen leven dat ik, als bedrijf, mijn gebruikers zou afblokken. De relatie werknemer-organisatie. Want dat zou illustreren dat mijn eigen interne controle niet werkt. Dat zou voor mij een incident zijn, waarvan ik zeg “verdraaid, we zijn ergens de mist ingegaan”. Er zijn daar virussen bezig, isoleer het. Wat iets is dat sowieso zou gebeuren. Dat zou wel kunnen. Maar vanuit overheid of semi-overheid zou ik dat echt niet zien zitten.

 

[...]

 

Tenslotte heb ik nog enkele methoden of mogelijke methoden om het onveiligheidsprobleem aan te pakken. Zoals de sensibilisering...

 

Ja, sensibiliseren. Bvb. Vanvelthoven. Dat is iets typisch Belgisch, altijd kritiek geven. Er is altijd kritiek, zelfs op zijn aanpak ook, maar het is toch wel goed dat er iets rond gedaan wordt. Die heeft een ganse peeceefobie actie... maar toch uiteindelijk, chapeau, het moet toch ergens starten.

Dat is wel goed. Er is alleszins budget voor handen, meer dan genoeg, om er iets moois van te maken. Het ministerie van Vlaamse Gemeenschap is heel hard bezig met security en dergelijke meer, dus...

 

Verder had ik ook nog bounties teruggevonden, waarmee hackers worden betaald om enerzijds andere hackers te vinden – een soort van verklikkingsysteem, zeg maar – en anderzijds om bugs te vinden.

 

Dat laatste is wel beter, want met dat verklikkingsysteem ga je ergens in een toestand geraken, waar je niet wilt geraken. Dan zitten we weer in de jaren ’30 :-)

 

Maar met die bug-finding, daar heb je een interessante site voor : idefense.com. Dat is een bedrijf dat een businessmodel daarrond heeft gebouwd. Dat zegt van, “als jij iets vindt, een fout in één of ander programma, we weten wel dat je dat kan uitbrengen en er wat roem en faam mee verdienen, maar hier, je hebt hier 150 dollar, stuur het op naar ons”.

Dat vind ik wel beter, dat ze de mensen een incentive geven om dat via gecontroleerde organen te laten doorvloeien. En idenfense zorgt er ook voor dat dat bvb. bij microsoft raakt, dat dat ook niet gedisclosed wordt voordat er een patch is. Gebeurt dat dan toch, maar niet door idefense, maar door die gast, draai het of keer het, dan weet men dat het door hem komt, dan krijg hij zijn geld niet. Okee, je gaat er misschien niet echt van wakker liggen voor die 150 dollar, maar toch...

 

Iets gelijkaardigs : verzekeringsfondsen aanleggen, zodat ieder bedrijf jaarlijks wat betaalt, en dat verzamelde geld wordt dan gebruikt om bug-finders mee te betalen.

 

Dat is een andere methode om geld te ronselen dan, maar de uitwerking is hetzelfde als idefense, maar ... ja, dat is ook een andere werkvorm. Het is een mogelijkheid.

 

En tenslotte : internetarchitectuur veranderen. Om op die manier de anonimiteit van het internet weg te werken.

 

Ja, anonimiteit hoeft eigenlijk niet. Als jij belt, weet ik dat jij belt.

 

Maar is het internet eigenlijk wel anoniem ?

 

Neen, hé. Het IP-adres is opzoekbaar en daaraan hangen persoonsgegevens aan vast. Het is niet echt anoniem. Helemaal niet. Het is gewoon de overtuiging van de meeste mensen dat het nog steeds anoniem is. Maar dat is dus niet zo.

 

Dat is wellicht de mentaliteit bij de meeste mensen van : ze kunnen ons niet vinden, we doen wat we willen ?

 

Inderdaad, het zou in feite geen slechte zaak zijn dat ze gewoonweg, gebaseerd op uw certificaat, of beter nog op uw digitaal paspoort bvb, dat ... en in theorie... en in praktijk ook eigenlijk, kun je dat al, dat je op bepaalde sites, met je digitaal certificaat, of je digitaal paspoort, dat de sessie die je opent op het internet, dat dat geauthenticeerd wordt, en dat dat gesigned wordt dat jij dat bent die die sessie opent. Uiteindelijk zou ik daar niets op tegen hebben.

Uiteindelijk zou ik het zelfs een beetje louche vinden, mochten mensen daar wel iets op tegen hebben.

 

Dat ligt wel een beetje in het verlengde van dat privacy-debat ?

 

Inderdaad, ik heb er in feite geen probleem mee dat iemand dat zou weten dat ik bvb. een aankoop doe op Amazon. Op amazon zou ik dat zelfs nog graag hebben, want ik heb dan tenminste een trail waarmee ik kan zeggen, “jamaar ik heb hier een boek besteld en ik heb dat nog altijd niet gekregen”. Of net omgekeerd, “ik heb dat niet gedaan”...

Het ganse identitity-theft fenomeen, het zou alleszins heel veel oplossen.

 

Je loopt ook niet rond op straat met een masker...

 

Ja, het is net dat. En als ik met zo’n masker zou rondlopen, dan wil dat toch zeggen dat ik geen echt legale doeleinden nastreef.

Het is iets anders dan privacy, hé. Wat je precies doet, dat moeten ze niet weten. Of dat moeten gewone individuen toch niet weten. Maar dat ik een boek koop, dat mag jij wel weten. Je moet niet weten wélk een boek, maar je mag wel weten dat ik naar Amazon surf, bvb.

 

Zie je het eigenlijk mogelijk om de internet-architectuur te veranderen ?

 

Wel misschien wel, maar dat is ook heel ver weg, dat is heel visionair, hé :-)

Misschien wel, eigenlijk. Als je kijkt naar wat de impact is van draadloze communicatie  bvb.

Ik denk dat we dat nog allemaal heel erg onderschatten. Tot nu toe, wat was dat, draadloze communicatie ? GSM en wireless. Daar gaan we het niet mee trekken.

Maar met dat hele UMTS en Edge en met de 4G die er aan komt, zoals WiMax en WiFi. WiFi was iets van 100 meter ongeveer, WiMax is 70 km. Je kunt er al iets mee doen, hé :-)

Maar dat is het internet uiteindelijk, dat is gewoon niets meer dan een collectief van nodes aan elkaar gekoppeld. Dus uiteindelijk ... als je draadloos gaat beginnen, maak je in feite een stuk nieuw internet. Stel dat we nu beginnen met een draadloze WiMax uitbouw, dan moet je vroeg of laat op de fiber aansluiten, uw connecties aanmaken met de peering netwerken van isp’s en naar Japan en naar US en naar where-ever. Maar ik denk wel dat de tijd komt dat dat eigenlijk volledig draadloos kan. Al dan niet via satellieten.

Dan heb je in feite een soort van 2de internet, dat zou wel kunnen gebeuren, ja.

 

Ik denk, de migratie naar IP versie 6, waarvan we zeggen dat het elk jaar gaat gebeuren, dat nog altijd niet gebeurt, dat dat wel iets is wat je bedoelt eigenlijk. Dat nieuw protocol is al een serieuze hertekening van de architectuur.

 

Natuurlijk moet je altijd compatibel blijven met vroegere...

 

ja, ’t moet altijd backwards compatible zijn.

 

Wat het geheel complexer maakt...

 

Maar als je ziet wat google doet en uiteindelijk als je ziet wat de media doet, bvb. VoIP, IP-television, ... google is nu bezig met overal dark fibres aan het leggen, we weten nog niet allemaal goed wat dat wil zeggen of wat ze er mee van plan zijn.  Maar wanneer een bedrijf zoals google echt gigantisch veel dark fibre begint te kopen en te huren, is het zo van ... je gaat dat niet gebruiken om ... allé, ik weet het niet, maar ... je gaat dat niet zomaar doen. Ergens moet daar een strategie achter zitten dat ze een eigen internet willen bouwen, of een eigen netwerk willen bouwen. Misschien voor een soort van zoekinternet of zo.

 

Ik denk dat, als er opsplitsingen komen, of nieuwe architecturen of aanpakken rond internet of algemene communicatie, dat dat zal gedreven worden door het nut ervan. Bvb. Media, als ik tv wil kijken, of kranten wil lezen, dat dat over aparte kanalen zal gaan. Gereguleerde kanalen. Want het is wel belangrijk dat, het nieuws dat ik ontvang, gereguleerd wordt. Niet onderschept bvb. kan worden en veranderd kan worden.

 

Vriendelijk bedankt voor dit gesprek

 

 

2. Gesprek met Luc Beirens, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

 

T.L. : Aan de telefoon had ik het over publiek-private samenwerking. In hoeverre is dat er al ? In hoeverre zou dat er moeten zijn ?

 

L.B. : Voor cybercriminaliteit is het zo dat er een nieuwe wet op elektronische communicatie is. Dat is eigenlijk een wet die de bepalingen herneemt uit de telecomwet van 1991 wat de wet is van de hervormingen op sommige openbare overheidsinstellingen. Dat is de RTT en de Post die omgevormd werden tot autonome NV’s, eerst Belgacomwet genoemd met de opentrekking van de operatoren eind jaren ‘90. Dan telecomwet genoemd. Nu gaat het om elektronische communicatie.

 

In die wet elektronische communicatie zijn er aan het BIPT bevoegdheden toegekend, die hen toelaten om maatregelen op te leggen, of normen op te leggen aan telecomoperatoren, om bepaalde maatregelen te nemen om datacommunicatie over hun netwerken veilig te maken.

Ook naar aanlevering van de diensten kan het BIPT bepaalden normen opleggen om bepaalde zaken te verplichten bij operatoren. Het is een beetje moeilijk om te zeggen hoever we daar nu zitten.

 

Het gaat er hem over dat dat iets is wat opstart, namelijk dat artikel 114 van die wet. Het FCCU maakt deel uit van de werkgroep artikel 114. Niet omdat het onze core-business is, maar omdat wij er behoorlijk wat ervaring in hebben over waar er zich problemen in cyberspace zijn en welke vormen van computercriminaliteit er erg zijn, ...

 

Ik weet niet of ik jullie het geval van de botnets heb uitgelegd ? Maar er is een dossier in Nederland, daar hebben ze op het einde van vorig jaar 2 grote botnets uit werking genomen. En wat zagen ze, dat die botnets niet alleen werden gebruikt om aanvallen uit te voeren maar ook om informatie uit de pc’s van de zombies te halen om bijvoorbeeld spear phishing te doen. Dit is aangepaste mails verzenden. Daar waar pishing eerder hengelen is een grote poel (spam naar iedereen) en op goed geluk... Nu krijg je een bericht in ’t Nederlands , van uw eigen bank, ... Op die manier wordt het moeilijker voor de eindgebruiker om te gaan zien of het bericht vals is of niet. Dus ze kunnen rapper in de val trappen.

 

Nu, in het kader van dat botnetgevaar, heb ik indertijd gezegd : kijk, we doen een aantal acties, die we moeten nemen. Eerst en vooral moeten we kijken waar de kritische infrastructuur in onze systemen zit en daar moeten we gaan kijken van de kant van de overheid uit waar willen we de maatschappij op zijn geheel gaan beveiligen, want het is niet omdat uw structuren bij private maatschappijen zit, dat je er als overheid geen pak meer op hebt. Dus eerst en vooral moet de overheid daar op gaan werken : bescherming van kritische infrastructuur.

Tweede zaak was voor mij inlichten van bedrijven, namelijk het risico dat ze lopen op aanvallen van botnets. “Je kunt op een bepaald moment uw systeem plat hebben, neem dat niet te licht op. Reageer naar de politie toe”.

Dan hebben we een derde punt. Dat is gaan kijken naar de geïnfecteerde pc’s. Daar het aantal geïnfecteerde pc’s naar beneden te halen. Dus voorkomen dat de gebruikers geïnfecteerd worden.

En een vierde actie in dat geheel dat was het dossiers doen om mensen af te schrikken.

 

Wat is er van dat eerste punt terecht gekomen. Ik heb een vergadering gehouden in 2004 toen ik eerst van botnets hoorde. Dat was een vergadering eigenlijk met iedereen waarvan ik dacht die iets te maken had met kritische infrastructuur en de verantwoordelijke overheid om dat ding eventueel te gaan besmetten. In 2005 is dat dan naar de Ministerraad gegaan, naar het college voor inlichting en veiligheid, dat is zo’n beetje het hoogcollege van alle belangrijke mensen die moeten gaan kijken naar welke maatregelen er moeten genomen worden om België veilig te houden. Daar is dat aangekaart, die kritische ICT-infrastructuur zoals ze er is op dit moment in België. Er is geen enkele overheidinstelling die zich er mee bezig houdt om dat te gaan beschermen. Elkeen doet het op zijn eigen. Want als je spreekt over kritische ICT-infrastructuur, dan gaat het niet alleen over iets van de overheid, maar dan gaat het evengoed over Belgacom, Telenet, ... Als je die 2 bedrijven buiten werking stelt, dan zal er niet veel meer werken, ook de overheid zal in de problemen komen.

Dus daar zit je met een element waarvan je zegt : “waar zit die kritische infrastructuur, wie baat dat uit, wat zijn de mogelijke dreigingen, hoe groot is de kans dat die dreiging reëel is ? (risicoberekening)”. Dus dat is eigenlijk waar we mee bezig zijn : hoe groot is de kans, wat zijn de dreigingen, wat zijn de tegenmaatregelen die we eventueel nemen, of laten we daar een risico open, wetende dat er een risico is. Op dit moment weten we eigenlijk niets.

 

Op basis van de beslissingen van de ministerraad heeft men gezegd : “kijk we richten een platform op : het BeNIS Belgian Network Information Security – Overlegplatform informatie veiligheid.”

Die groep is in februari van dit jaar gestart, daaruit zijn 2 werkgroepen voortgekomen. Eentje houdt zich bezig met critical information infrastructure protection (CIIP). De tweede werkgroep die gaat over geclassificeerde informatie, zowel van de overheid als van bedrijven die op bepaalde momenten gevraagd worden om hun gegevens te gaan beveiligen.

Dat is de werkgroep waar ik mij niet mee bezig houdt. Maar wat die mensen doen is certificatie van in eerste plaats normen opleggen van wat moet er zijn om documentatie of informatie te kunnen zetten die de graad “zeer geheim” heeft. Want dat mag niet zomaar ter beschikking zijn voor iedereen en de toegang daarop moet gecontroleerd worden en zo. Welke certificaten moeten de producten en de personen hebben die in die omgeving werken.

 

Ik zit in die werkgroep over CIIP. Daar zitten we ook samen met het BIPT, omdat het BIPT daar leidende dienst is ook terug gebaseerd op de wet elektronische communicatie die zegt dat het BIPT de maatregelen kan nemen die ertoe moeten leiden dat de transmissie, het dataverkeer veilig is.

Ik wil in die groep behoorlijk wat investeren, evenals in de werkgroep artikel 114.

 

Wat is mijn doel in die materie. Dat is om te gaan naar een beetje zoals de Nederlanders hebben gedaan in hun dossier. Die hebben de servers uit dat botnet... allé, die zijn uitgekomen bij één iemand. Ze hebben interceptie gedaan en alle data geanalyseerd. Ze zijn uiteindelijk gekomen naar 2 botnetten die met elkaar in verbinding stonden. Die geïnfecteerde computers konden teruggebracht worden naar één server... ze hebben daarvoor samengewerkt met Acces4All, dat is een provider die nogal erg security-gericht is. Dat is eigenlijk een securitygroep die opgericht is uit een milieu van hackers. Die zijn enorm security-minded. Die willen die verspreiding van trojans tegengaan.

Wat hebben ze gedaan. Ze hebben een server in de plaats gesteld waarop die geïnfecteerde computerssystemen zich komen melden, zoals dat gebeurde in dat botnet zelf. Het enige wat gebeurde was het registreren de versie van de bot die de trojan geïnstalleerd heeft, datum, tijdstip, IP-adres. En elke dag werd er gekeken, “tiens voor die provider, dat is zijn IP-range. We maken een mail over naar de provider en die moet zijn klanten gaan verwittigen en zeggen dat ze geïnfecteerd zijn, ‘gelieve om ze weg te halen’...”.

 

In een paar maanden tijd waren er ongeveer een miljoenenhalf geïnfecteerde pc’s, waar dat men op de moment dat de botnet nog actief was, een inschatting maakte van dat gaan er 100- 150.000 geïnfecteerde pc’s. Maximum zat men aan 60. – 70.000 bots in het netwerk die actief waren op één moment. Dus als ge daar met 70.000 pc’s kunt gaan bedienen, één commando dat je geeft en dan 70.000 pc’s die een aanval gaan uitvoeren op één of ander systeem... Die 2 mensen die werkten met momenten samen, dan had je iets van 100.000-120.000 bots.

 

Daar wil ik ook naar toe gaan. Namelijk, kunnen we botnet-activiteit herkennen ? Zeker als de server, men noemt dat de command and control, waar de geïnfecteerde pc’s zich gaan connecteren. De maker die zendt dan zijn informatie, zijn commando’s naar die command and control server. Dus als je zo een command and control server in België, bij een Belgische provider, is dat iets waar we moeten kunnen op gaan inspelen.

Eventueel doen zoals de Nederlanders dat doen, en dus ervoor zorgen dat je detecteert wie is er geïnfecteerd met welke bot, en eventueel dan ook werken op dezelfde manier dat de operatoren dan zeggen aan hun klanten : “jij bent geïnfecteerd op die en die manier, gelieve u te desinfecteren”.

 

In Zweden, maar die informatie is nog niet geverifieerd, zou er een wetgeving zijn die verplicht om aan operatoren, als er vastgesteld wordt dat één van hun klanten geïnfecteerd is en bezig is met verspreiding en dus niet veilig aan het werken is en schadelijke datatraffiek aan het generen, om die gebruikers offline te nemen.

Dat lijkt mij wel een goed idee om navolging te geven in België.

 

Daarom moeten die gebruikers nog niet onmiddellijk offline genomen worden. Eventueel met verwittigingen. Na zoveel keer... Daarbij wordt de melding gemaakt dat de gebruiker nalatig is en schadelijk is voor andere gebruikers.

En dat is een ander aspect waar we mee bezig zijn, dat is kijken hoe die verspreiding van malware gebeurt. Er zijn verschillende systemen die bestaan waarbij je kunt zien “hoe snel word ik geïnfecteerd met trojaanse paarden”. Er bestaan daar machines voor met virtuele boxes, waarbij men een standaard windows systeem emuleert met alle gekende abilities... We zijn dat aan het testen om te kijken hoeveel infecties zijn er, en dat zijn er enorm veel. En dat is binnen Belgische IP-range.

 

Dus daar zijn we nu aan het kijken, van wat kunnen we daar mee doen, kunnen we eventueel daar ook... want dat zijn dus diezelfde botnetposten, misschien gaan ze zich niet meer connecteren met een server, maar ze zijn wel aan het proberen om andere kwetsbare systemen te infecteren. Gewoon door te scannen en te zeggen : welke windows versie zit erop. Het systeem wordt geïnfecteerd, de informatie wordt geupload en ze installeren zichzelf op het systeem. En dat gaat vrij snel.

 

Met die kennis van zaken zijn we nu aan het zien : kunnen we ook zoiets gaan voorzien bij de telecom-actoren, of samenwerken met een equipe, of moet er een overheidsdienst worden opgericht die zoiets gaat doen en dan ook richtlijnen gaat geven naar de operatoren en zegt “je moet nu dit doen of je moet nu dat doen”.

 

Mijn ding is : tracht het zo praktisch mogelijk te houden. We gaan nu een demonstratie houden met wat we hebben vastgesteld, wat eventueel de mogelijkheden zijn, en dan zien we, is dat iets waar we mee naar de operatoren kunnen stappen. Op dit ogenblik zitten enkel overheidsinstellingmensen in die werkgroepen. Eens we min of meer een idee hebben, gaan we met dat plan naar de operatoren gaan en kijken in welke mate dat ze ...

 

Dat is... gebaseerd op een wettelijke verplichting dan, waarbij dat we inderdaad de operatoren verplichtingen kunnen opleggen, maar dat is nog niet naar de eindgebruiker toe. Dus misschien moet er in de wetgeving nog een stuk aangepast worden waarin we de gebruiker verplichten ook om bepaalde beveiligingsmaatregelen te nemen. Want daar stel ik enorm veel nonchalance vast.

 

We hebben ook meegewerkt aan die actie van Vanvelthoven waarbij de actie was om de eindgebruiker wakker te maken. Wat zijn de risico’s, wat kun je doen.

Ik denk dat de actie zijn effect gemist heeft, en dat er eerder negatieve reacties zijn losgeweekt dan positieve (vrouwenverenigingen pikten het domme beeld van de huisvrouw niet). Ik denk dat we daar meer negatieve dan positieve effecten hebben gecreëerd.

Maar bon, het is een actie geweest.

 

Er is ook een Suske en Wiske boek geschreven waar het gaat over “wat is mijn gedrag op internet, wat moet ik doen, ...” Dat was naar de jongeren toe.

 

En dan kom ik in het kader van dat actiepunt naar de eindgebruiker toe, we hebben die peeceefobie en zo gehad, en we gaan zelf ook heel wat acties en presentaties geven. Zowel naar het onderwijs als naar verenigingen. Dat we eigenlijk een breed publiek gaan aanspreken en dus gaan vertellen over wat zijn de risico’s die je loopt op het internet, tegelijkertijd het stuk ICT-security, wat zijn de primaire maatregelen die je moet nemen, backup, antivirus, firewall, ...

 

Dat zijn de zaken waar we mee bezig zijn, naar een breed publiek toe. Daar steken we minder capaciteit in. Ons actiepunt is, we gaan naar de mensen die in het onderwijs staan en die moeten het dan maar overbrengen naar hun leerlingen, naar ouderverenigingen ...

 

Naar bedrijven toe daar werken we samen, inzake ICT-security, samen met verschillende VZW’s, en organisaties samen, die werken rond ICT-security.

Het eerste is natuurlijk BelCLIV. Het gaat er in die dingen om, dat is eigenlijk een organisatie die opgericht is vanuit het VBO, met de verschillende beroepsorganisaties, om naar IT richtlijnen te geven naar bedrijven toe. Dus daar werken we samen in een werkgroep incident-procedures bij computercriminaliteit.

 

Gaat het dan om gewone bedrijven of informatiebeveiligingsbedrijven ?

 

Het gaat hier om algemene bedrijven, zowel KMO’s als naar grotere bedrijven toe. VBO werkt op grotere bedrijven, terwijl UNIZO eerder gericht is op kleinere KMO’s.

 

Nu, de bedoeling is om een richtlijn te hebben die heel breed is, en die ook heel verstaanbaar is naar mensen die niets kennen van ICT. Dat doen we daar.

 

We werken ook samen met LSEC. Leuven Security Excellence Consortium. En daar zijn we ook bezig met een beeld te maken wat is ict-security, wat is het risico van informaticacriminaliteit heel breed, en welke maatregelen moeten er genomen worden. Dat is een ander platform, maar het zijn soortgelijke taken. Omdat we zeker willen zijn dat het zoveel en zo ruim mogelijk verspreiding krijgt.

 

En tegelijkertijd doe ik enorm veel presentaties die dikwijls kaderen in evenementen van bedrijven, zowel informatica als security. Dan specifiek gericht naar IT-ers, maar eigenlijk is mijn wens daar meer om bedrijfsleiders aan te spreken, want zij moeten investeren in de apparatuur die die informaticus moet mee werken. Als zij niet overtuigd zijn van het risico dat ze lopen, dan gaan ze veel minder geneigd zijn om er geld in te steken, want een informaticus die wil altijd van alles en nieuw materiaal, ...

Daar kies ik heel duidelijk een publiek dat een zekere beslissingsbevoegdheid heeft over die budgetten.

 

Wordt er dan ook gesproken om systemen op te zetten dat opsporingen makkelijker maakt ? Dat beter registreert welke handelingen... ?

 

Er zijn raadgevingen, preventief en reactief, als het incident gebeurt. Daar wordt gezegd activeer uw loggings, zorg ervoor dat je firewalls hebt, ... Ik moet niet gaan spreken in mijn  uitzettingen over intrusion detection systemen, en dergelijke systemen.

Je mag al blij zijn als een bedrijfsleider weet wat een firewall is en zo. Je moet het dus gewoon op een bepaald niveau brengen en die mensen wijsmaken dat er bepaalde risico’s zijn. En dat ze direct moeten gaan naar een specialist die hun kan helpen. Als het verkeerd loopt dat ze dan naar ons kunnen komen, maar dat het feitelijk dan al slecht beleid is. Maar ik geef dan wel duidelijk voorbeelden van wat er slecht beleid is en dergelijke meer.

 

Dat is zowel naar bedrijven toe, maar ook naar overheidssectoren. Zoals bvb. VICTOR : de vereniging van steden en gemeenten die zich bezig houdt met informatica in het beleid van lokale besturen. Daar zijn nu verschillende evenementen geweest waar we ook presentaties hebben gegeven en daar hebben we ook samengewerkt op de hogeschool in Mechelen die daar vorig jaar of het jaar daarvoor onderzoek heeft gedaan, een kleine audit heeft gedaan, bij 15 lokale besturen naar veiligheid en ICT-security.

 

Dan is er tenslotte nog de samenwerking met de parketten. Dat is dan vooral het uitwerken van dossiers. Zoals vorig jaar, iemand die de chatnetwerken heeft platgelegd die gebruikt werden door de grote mediamaatschappijen. Die gast is dan ook gepakt geweest.

De vraag is dan ook, hoe breed wordt dat in de pers gemeld en heeft dat een afschrikkend aspect ? Die gast moet nu nog zijn straf krijgen.

 

Dus feitelijk gaat het vooral over sensibiliseren en bewustmaken ? Heel preventief ...

Maar kun je ook repressief samenwerken met beveiligingsbedrijven. Opsporen, ...

 

Ja, maar wat we zelf kunnen gaan we nooit aan een ander doorgeven. Het is duidelijk dat de samenwerking die we hebben op forensisch ict-onderzoek, daar werken we samen met het IFA – Instituut voor forensische auditoren. Dat is opgericht in 2000 om specialisten te gaan vormen die in het kader van fraude, en dan heb ik het vooral over financiële en fiscale fraude, in bedrijven opsporingen gaan doen en dus detectiesystemen kennen, de methodes meegeven om te gaan detecteren in het bedrijf, wat loopt er hier fout, zijn er... dit is niet de gewone audit die zegt van, “dit zijn de regels, worden de regels gevolgd”, maar die zegt van “zijn de regels wel compleet en zitten er daar geen gaten in waardoor dat als je zelfs de hele audit doet, dat je nog niet gaat detecteren dat het fout loopt”. Dus welke zijn de middelen om te gaan zien in een bedrijf of rekeningen niet worden misbruikt voor....

Daar heeft men ontdekt dat men ook behoefte heeft aan iemand die heel goed weet hoe men computersystemen kan gaan onderzoeken. En dat ook forensisch kan ontleden.

Daar zaten we wat gewrongen. De vraag kwam of ze bij ons les konden komen volgen ? Dat hebben we afgewezen, want we werken met reële dossiers als voorbeelden en dat kunnen we niet zomaar doorgeven.

Dus wat hebben we gedaan, samen met de mensen van het IFA, hebben we een cursus opgezet, computerforensics. Dat waren twee stukken, computerforensics en dataforensics. Het ene is data-recuperatie op de pc en het andere is data-analyse.Dus eigenlijk een beetje data warehousing, maar met alle gegevens die je gerecupereerd hebt. Dus in dat eerste project computerforensics hebben wij samengewerkt, en eigenlijk de methodes die wij gebruiken en de achterliggende theorie hebben we overgegeven naar de mensen die die cursus kwamen volgen. Maar nu laten we dat een beetje voor wat het is, omdat we zelf een beetje teveel met ons zelf bezig zijn om onszelf te vormen. Maar dat is een belangrijke inspanning die we daar hebben geleverd om de methode die wij gebruiken ook over te brengen naar buitenuit.

 

We hebben samengewerkt met het college van procureurs-generaal om daar een stuk tekst te maken die heel algemeen het forensisch kader vormt voor data-analyse. Dat is de circulaire 16 van 2004 van het college van procureurs-generaal. Dat gaat over informaticacriminaliteit en daarin staat wat de algemene principes zijn die moeten nageleefd worden binnen het kader van de verplichtingen die zijn opgelegd in de wet informaticacriminaliteit. Dat wil zeggen het garanderen van de integriteit en de confidentialiteit van de gegevens die onderzocht worden. Wat wil dat allemaal zeggen, hoe gaat dat allemaal in zijn werk. In zeer algemene bewoordingen staat dat er allemaal in beschreven. Die circulaire is ook op mijn vraag dat ook vrijgegeven naar de buitenwereld toe.

 

 

We werken ook mee in Spamsquad, een vereniging van mensen om spam te bestrijden. Wat moeten we doen, algemene richtlijnen daarrond. Daar is er een document van gemaakt, daar is ook een website van opgezet, maar denk dat we daar nog niet ver genoeg in zitten. Daar moeten we nog een gans stuk verder.

 

Safer internet, een ander platform. Dat wordt gefinancierd door de europese commissie. Samen met operatoren, verschillende groeperingen, consumentenverenigingen, ... Die zeggen wat er allemaal moet gebeuren, hoe moeten we reageren, wat moeten we wel en wat niet doen met bepaalde voorstellen. Dat is ook de mensen bewust maken. Maar dat zijn eerder occassionele tussenkomsten, we werken daar aan mee, algemene tips geven, bewustmaken af en toe een presenatie, ...

We gaan niet beginnen met al die documenten te gaan uitwerken. Alhoewel we al heel wat documenten hebben gemaakt en ter beschikking hebben gesteld via de website van de federale politie over internetoplichting. We zijn ook bezig met handboeken te maken naar de politieman op het terrein om als hij geconfronteerd wordt met iemand die een klacht komt neerleggen, dat hij weet wat hij precies van vragen moet komen stellen, welke inbreuk dat is in het strafwetboek, want er zijn er nog die zeggen, “mijnheer wat komt gij hier doen ? Dat is niet strafbaar.”

Dat zijn zo een beetje de zaken waar we ons mee bezighouden.

 

Maar het gebeurt wellicht ook dat bedrijven niet zo graag naar jullie toekomen omdat ze bang zijn voor de confidentialiteit en de negatieve publiciteit en zo. Maar die schakelen dan privé-bedrijven in en die kunnen dan soms ook niet veel meer doen dan rekenen op de vrijwillige medewerking van de verdachte. Zou er daar moeten meer samenwerking komen ?

 

Het is duidelijk, hé. Ofwel wil het bedrijf dat de vorm van computercriminaliteit waar het slachtoffer van geworden is, dat de dader gepakt wordt. En dan kunnen ze een klacht neerleggen en dan kan er een onderzoek ingesteld is.  Als men niet de moed heeft om te zeggen van “kijk, we zijn inderdaad slachtoffer geworden, maar we doen er iets aan en wij...”,  dan moet men niet verwachten dat men wetgeving gaat maken om particulieren iets te gaan laten doen wat de justitie en politie niet mogen. Als we daar naar toe gaan, dan zitten we met de meest waanzinnige toestanden, zoals dat in America heel vaak het geval is. Daar gaat men niet met justitie en politie gaan werken, maar op basis van de gerechtelijke zaken de gegevens gaat opvragen, dat zijn zaken waar ik zelf ook een beetje van gruw. Want op de duur, waar zit uw privacy nog beschermd ? Privacy is een aspect wat moet gewaarborgd worden en waar we heel veel respect moeten voor hebben. Maar aan de andere kant, het mag ook niet zo zijn dat we geen criminelen meer kunnen pakken, omwille van die privacy. Maar als men dat dan nog voorbehoudt aan politie en justitie, waar er een controle is van gerecht en ingestelde comités die toezicht houden. Als je dat toelaat om aan een bedrijf te gaan geven, dan is het hek van de dam. Er gebeuren nu al veel te veel illegale dingen binnen een bedrijf.

 

[...]

 

Zelfs iemand die forensisch onderzoek doet en die gaat zoeken naar intrusion detection, zaken die fout gaan in het bedrijf, zit al rap op de grijze zone, en dikwijls zelfs in de zwarte zone, waar hij eigenlijk al helemaal niet zou mogen zitten.

 

Als je dan kijkt wat er binnenkomt van buiten het bedrijf, bijvoorbeeld een aanval of zo, met die informatie kunnen zij zeggen : “kijk, dit is wat we hebben, maar meer dan dat kunnen ze niet doen”. Zij mogen niet verder gaan vragen aan operatoren van geef mij eens de identificatie van ...

 

Dan moeten ze naar jullie komen om de verdere stappen te gaan doen

 

Ja. Nu, ik begrijp ook…  Je hebt 2 zaken in die misdrijven, dat is ervoor zorgen dat het misdrijf stopt en ten tweede ook om te zien wie er achter zit. In de meeste gevallen kun je bepaalde maatregelen nemen als bedrijf om ervoor te zorgen dat je geen slachtoffer meer wordt. Maar de crimineel blijft verder rondlopen en die zoekt wel een ander bedrijf om aan te pakken.

En dat is wat we zien en waar we naar toe willen gaan. Dat is dat de bedrijven toch melding maken van wat er gebeurt en misschien zou het bedrijf ook moeten kunnen klacht neerleggen, waarbij je die informatie kunt gebruiken, zonder dat het dossier wordt opgesteld naar het bedrijf zelf.

Ik bedoel maar, dat er uiteindelijk niets voor de rechtbank komt. Zodat de negatieve publiciteit wordt voorkomen.

De meeste bedrijven zijn wel bereidwillig om samen te werken, en zeggen, kijk, dat zien we en dat zien we, maar maak daar geen dossier van of we doen niet meer mee.

En dat is een beetje de moeilijkheid die we hebben. Op dit moment is alles er zo op gericht dat er effectief een gerechtelijk dossier wordt opgesteld. De procureur kan wel seponeren als hij denkt ... maar de procureur kan niet veel doen. Om verder te gaan in dergelijke materie heb je meestal altijd een onderzoeksrechter nodig. En een onderzoeksrechter kan niet gaan seponeren. Eens het bij de onderzoeksrechter komt, komt het voor de raadkamer en komt het sowieso voor de rechtbank.

 

Dus in feite, de privé in het forensisch onderzoek is er vooral meer voor recuperatie van een gecrashed systeem of zo...

 

Neen ! Daarvoor gaan ze natuurlijk ook dienen, maar daar heb je geen forensisch onderzoeker nodig.

Het gaat er hem over dat op een bepaald ogenblik een incident in het bedrijf kan voorkomen, waarvan de oorzaak niet onmiddellijk kan bepaald worden . Soms kan dat gewoon een programmafout zijn, slechte installatie, ... En dan, dat is het wat in de meeste bedrijven ontbreekt, dat men zich niet heeft voorbereid op een incident. En dan beginnen ze te panikeren. “Wat gaan we nu doen ?”

En dan beginnen ze ofwel servers opnieuw te gaan installeren waardoor alle sporen overschreven worden en je dus de mogelijkheid niet meer hebt om het te gaan onderzoeken.

Ofwel roepen ze de politie en nadien zeggen ze, verdorie, we hebben de politie geroepen en die hebben dat hier allemaal gekopieerd en onderzocht en zo, maar uiteindelijk is het iets waar we een interne oplossing moeten aan geven.

Wat heb je dan, dan heb je die forensische onderzoekers, die specialisten, die eigenlijk, en vandaar dat we die methode hebben meegedeeld aan het IFA, werken op een forensisch verantwoorde manier, gegevens gaan verzamelen. Eigenlijk een autonoom statuut hebben, hangt er natuurlijk van af natuurlijk als bvb. een bank een eigen forensisch onderzoeksteam heeft, dan zijn die minder onafhankelijk en zo. Maar het bedrijf heeft daar een kans dan om die mensen in te zetten, de sporen al veilig te stellen zoals wij die sporen zouden komen opnemen, zonder dat ze tegelijkertijd de sporen gaan vertrappelen. Dat kunnen ze mits analyse van de forensische controle, zeggen van “okee, dat is de situatie, dat is de diagnose, we kunnen er mee naar buiten komen of we kunnen het intern oplossen”. Als ze het intern oplossen dan is er geen probleem. Moet ik er mee naar buiten komen, dan is het ook nog geen probleem, want de sporen zijn nog intact en op een forensisch verantwoorde manier vastgelegd.

En in dat kader moet je eigenlijk die forensische specialisten zien en hun opdracht.

 

Maar dat blijft begrensd tot de grenzen van de firma. Daardoor zit je natuurlijk al heel rap ook als je spreekt over van misbruik van computersystemen met spionage en zo, meestal gaat dat naar buiten en zo

 

[...]

 

Dat is dus inderdaad waar we meer en meer mee geconfronteerd worden, draadloze netwerken. er zijn al verschillende dossiers waar men misbruik heeft gemaakt van onbeveiligde draadloze netwerken. Men hopt op iemands internetconnectie...

En dat wordt meer en meer een probleem en gaan we moeten bekijken en bespreken met regulerende instituties van wat gaan we daarin gaan toestaan. Want iedereen begint maar overal netwerken uit de grond te stampen voor draadloze internet en gratis en vooral geen formaliteiten. Maar op den duur is dat voor criminelen een gedroomde wereld. Als je spreekt over anonimiteit... dan wordt dat effectief, hé.

 

In hoeverre is het internet anoniem ?

 

Je zit op verschillende niveau’s. Die netwerktoegangfysiek, waar je je identificatie hebt, mac-adres, adsl – telefoonnummer of serienummer van de modem of wat dan ook – ook wifi-netwerk werken met mac-adres. Dat zijn de sporen, de enige die er moeten zijn (en in dat netwerk moeten die mac-adressen uniek zijn) of anders heb je problemen in de transmissie. Op dat niveau van het netwerk moet uw... Maar je kunt uw mac-adres inderdaad ook spoofen. En dat is ook makkelijk met een wifi, je intercepteert die datapakketjes, je analyseert welk mac-adres er in zit en dan gebruik je dat mac-adres voor uw pc.

 

De identificatie gebeurt meestal aan de hand van het macadres van de modem of het serienummer van de modem, het hangt er een beetje van af hoe ze precies werken.

Die link met het netwerk met dat paswoord, zegt “dat is die abonnee”. Is dat gespoofed, dan is dat natuurlijk dikke pech. Maar bij de meeste van de modems zit er ook nog een encryptiemodule en een sleutel en zo. Enfin, ja, niet bij de meeste, bij wat we kennen, daar zit er nog een bijkomende beveiliging bij omdat je bij een kabelnetwerk in een lus hangt. En alles wat er langs jou passeert, dus als uw modem niet specifiek beveiligd is, dus als hij niet kan gaan luisteren wat anderen aan het doen zijn, dan is dat natuurlijk wel een probleem naar de confidentialiteit van de andere gebruikers.

 

Je zit dus met dat laagste niveau en daar zit je met de technische informatie die er op dat ogenblik moet zijn om de transmissie tot een goed einde te laten gebeuren, anders lukt dat niet. Dat dat eventueel gespoofed is, bon, ... het niveau erboven is al veel moeilijker, hé; dus het gebruik maken van een gebruikersnaam en een paswoord, om u te identificeren als zijnde een abonnee bij een Internet toegangsleverancier. Vanaf uw lijn adsl geactiveerd is en je hebt iemands gebruikersnaam en paswoord, dan kun je van waar ook via welke adsl geactiveerde lijn ook gaan connecteren. En dat is al voorgekomen in dossiers dat ook via adsl maar ook via dial-up-lijnen dat men gebruikt maakt van iemands anders identiteit om anoniem te blijven en om zijn bandbreedte die men maandelijks heeft op te gebruiken. Dit is handig voor downloaders met een limiet.

 

Ook op het niveau van mails controleren en dergelijke, die ook slechts met een gebruikersnaam en paswoord werken, daar zit je ook heel makkelijk met valse identificatie. Je kan heel makkelijk een e-mail verzenden vanuit een ander e-mailadres, onder een andere naam, ... Iemand die niet goed weet hoe dat in elkaar zit, kan daar makkelijk in trappen.

 

Anonimiteit, je zit met al die verschillende lagen die er sowieso in de architectuur zitten. Dus we zitten op niveau van fysiek netwerk, toegang tot het internet, en dan de diensten die je gebruikt op het internet, dat is nog eens een niveau hoger, nog eens een gebruikersnaam en een paswoord, nog een mogelijkheid om te gaan falsifiëren. Dat allemaal samen maakt het al een serieuze graad van complexiteit om tot identificatie te komen. En tegelijkertijd ook een grote kans om niet tot identificatie te komen en dus een garantie op een bepaalde graad van anonimiteit.

 

In de normale werking van de infrastructuur, in de gespecialiseerdere werking voor hackers en dergelijke, zit je met systemen die ervoor zorgen dat je datatransfer anoniem wordt, die ervoor zorgen dat degene die op het eind van de communicatie zit aan geen kanten weet van waar het komt en ip-adressen zoekt van overal op de wereld behalve van ip-adressen van gij zelf als dader. Daar zit er in de toekomst nog heel veel problemen.

 

[...]

 

Stel dat een hacker uit Japan via een server in Duitsland aanvalt in België. In hoeverre kun je daar iets tegen gaan doen ?

 

Met de internationale politie samenwerken. Waarbij je met internationale rogatoire opdrachten moet gaan werken. Die dus helemaal niet aangepast zijn aan de technologie en snelheid waarmee criminelen misdrijven plegen en de duurzaamheid van de sporen op internet zijn zodanig kort dat je als je daar moet op wachten op een internationaal rogatoir onderzoek, dat je inderdaad niet klaar bent.

 

Werkt dat beter binnen de unie ?

 

Nee, er zijn 2 aspecten. Je zit met de mogelijkheid dat dat allemaal snel zou kunnen werken als de mensen die in de diensten zitten... want een rogatoire opdracht dat moet gemaakt worden door een onderzoeksrechter, die moet dat dan overmaken naar het ministerie van justitie, die het dan moet overmaken naar het ministerie van justitie in dat ander land, dat moet overgemaakt moet worden naar een rechter daar ter plaatste die dat valideert en zegt, “inderdaad we gaan dat hier gaan uitvoeren”, dan worden de mensen die dat uitvoeren...

 

Als je de tijd bekijkt waarover dat allemaal moet gaan, dan zit je al snel aan weken, maanden. Dat hebben we een tijd geleden ook gehad voor de kerstvakantie... enfin, dat ging niet vooruit, alsof met de kerstvakantie de wereld even gaat stil staan en daarna weer verder draait. Als we ... enfin zo hebben we een week verloren en hebben we maar 2 weken sporen gehad op een server waar we er eigenlijk 3 of meer moesten gehad hebben.

 

Je mag dan nog een fantastische wetgeving hebben, als de mensen die het moeten uitvoeren, de organisatie die moet meewerken, niet door heeft dat dat snel moeten gebeuren, dan gaan we er meestal niet geraken.

 

Dus het komt er eigenlijk op neer om snel iemand te kennen, te hebben, die weet waarover het gaat en dan kun je zeggen van, bewaar al die gegevens en dan komen we die halen, maar begin er nu al mee !

 

Dat is in de cybercrime conventie voorzien, data preservation. Maar dat is nog niet ingebouwd in de Belgische wetgeving. Dat zit er nog niet in.

In de conventie staat er : dat moet gebeuren door een politieofficier op laag niveau. Je moet kunnen zeggen tegen de man op de straat, die krijgt daar kennis van, of de mens van de regionale ccu moet kunnen de opdracht geven aan de operator en zeggen : “die gegevens moet je bevriezen, en dan komen we die halen vanaf dat we een bevel hebben”.

 

Nu doen we dat ook, maar er bestaat geen maatregel die zegt : “als je het niet doet, dan ben je strafbaar”. Uiteraard, als dat niet bestaat, ...

 

Vriendelijk bedankt voor dit interview

 

home lijst scripties inhoud vorige volgende  

 

[1] Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport)

[2] LEESON, P., en COYNE, C., ‘The economics of computer hacking’, Journal of Law, Economics and Policy, 2006, 511-532

[3] Belgische Federatie van het Financiewezen, Financiewezen en samenleving. Jaarverslag 2005, Brussel, 52p (jaarverslag)

[4] Algemene beleidsnota van de minister van Financiën, Gedr. St., Kamer, 2005-06, nr. 51-2045/019, 11

[5] Art. 1 K.B. 1 september 2004 houdende de beslissing om de elektronische identiteitskaart veralgemeend in te voeren, B.S., 15 september 2004

[6] VERTON, D., Dagboek van een hacker (vertaling), Haarlem, E-com Publishing, 2002, 348p; SCHNEIER, B., ‘Customers, Passwords and Websites’, IEEE Security & Privacy, 2004, afl 4, 88; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[7] KUM, 1,1 miljard virussen en spam onderschept door Belgacom, Het Nieuwsblad, 14 september 2004

[8] FREY, D. (02/11/2003) ‘An analysis of cybercrime. Past, present and future’ [WWW] University at Buffalo : http://www.acsu.buffalo.edu/~djfrey/ICO631/631final_individual.pdf [7/04/2006]

[9] FREY, D. (02/11/2003) ‘An analysis of cybercrime. Past, present and future’ [WWW] University at Buffalo : http://www.acsu.buffalo.edu/~djfrey/ICO631/631final_individual.pdf [7/04/2006]; VERTON, D., Dagboek van een hacker (vertaling), Haarlem, E-com Publishing, 2002, 348p

[10] KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39

[11] Botnet : een netwerk van geïnfecteerde pc’s (zombies) die d.m.v. een toevloed aan informatie een server offline kunnen brengen (zie ook uitleg DDoS bij de lijst van gebruikte afkortingen).

[12] GARBER, L., ‘Denial of Service Attacks Rip the Internet’, IEEE Computer magazine, 2000, afl 4, 12-17

[13] X. (19/08/2003) ‘Worm that targets 'Blaster' hinders Air Canada operations’ [WWW] CNN.com: http://www.cnn.com/2003/TECH/internet/08/19/internet.worm.ap/index.html [21/11/2005]

[14] HOLLINGSWORTH, A., en SULLIVAN, B. (20/08/2003) ‘Computer Virus Strikes CSX Transportation Computers. Freight and Commuter Service Affected’ [WWW] CSX Corporation: http://www.csx.com/?fuseaction=media.news_detail&i=45722 [21/11/2005]

[15] Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport); Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[16] KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39

[17] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p

[18] FREY, D. (02/11/2003) ‘An analysis of cybercrime. Past, present and future’ [WWW] University at Buffalo : http://www.acsu.buffalo.edu/~djfrey/ICO631/631final_individual.pdf [7/04/2006]

[19] Wet van 28 november 2000 inzake informaticacriminaliteit, B.S., 3 februari 2001

[20] Een aanval op een computersysteem waarbij botnets worden gebruikt het aan te vallen systeem te belasten met een toevloed aan informatie

[21] MAERTENS, F. (14/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] filip.maertens@ysecorp.com [14/12/2005]; VANDERWEE, S., ‘Geen deus ex machina voor informatiebeveiliging’, Het Ingenieursblad, 2005, afl 11-12, 48-49

[22] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p

[23] KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39

[24] Verzamelterm voor schadelijke software zoals virussen, worms, trojan horses, spyware, ...

[25] SPITZNER, L. (21/07/2001), ‘Know Your Enemy. The Tools and Methodologies of the Script Kiddie’, [WWW] FirstNetSecurity Library: http://www.adimpleo.com/library/misc/KnowYourEnemy1.pdf [07/04/2006]

[26] WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[27] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[28] WALL, D. S., ‘Cybercrimes and the Internet’ in Crime and the internet, WALL, D.S. (ed.), London, Routledge, 2001, 240p

[29] GRABOSKY, P., en SMITH, R., ‘Telecommunication fraud in the digital age’ in Crime and the internet, WALL, D.S. (ed.), London, Routledge, 2001, 240p

[30] KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39

[31] JEWKES, Y., Dot.cons. Crime, Deviance and Identity on the Internet, Cullompton, Willan publishing, 2003, 200p; LEESON, P., en COYNE, C., ‘The economics of computer hacking’, Journal of Law, Economics and Policy, 2006, 511-532

[32] VERTON, D., Dagboek van een hacker (vertaling), Haarlem, E-com Publishing, 2002, 348p

[33] SCHNEIER, B., ‘Customers, Passwords and Websites’, IEEE Security & Privacy, 2004, afl 4, 88

[34] YAN, J., BLACKWELL, A., ANDERSON, R., en GRAND, A., ‘Password Memorability and Security. Empirical Results’, IEEE Security & Privacy, 2004, afl 5, 25-31

[35] NIEUWENHUIZEN, M. (29/07/2005) ‘Georganiseerde misdaad vaak achter cybercrime’ [WWW] Computable Technologie: http://www.computable.nl/artikels/archief5/d30hb5nd.htm [06/12/2005]; DUHIGG, C., Strong Attackers, Weak Software. Recent Outbreaks Show Virus Writers’ Growing Power, Washington Post, 21 augustus 2003; SCHNEIER, B., ‘Customers, Passwords and Websites’, IEEE Security & Privacy, 2004, afl 4, 88

[36] BAUMANN, R. (24/11/2002) ‘Ethical Hacking’ [WWW] GSEC Certified Professionals : http://www.giac.org/certified_professionals/practicals/gsec/2468.php [3/05/2006]

[37] SPITZNER, L. (21/07/2001), ‘Know Your Enemy. The Tools and Methodologies of the Script Kiddie’, [WWW] FirstNetSecurity Library: http://www.adimpleo.com/library/misc/KnowYourEnemy1.pdf [07/04/2006]

[38] LEESON, P., en COYNE, C., ‘The economics of computer hacking’, Journal of Law, Economics and Policy, 2006, 511-532

[39] LEESON, P., en COYNE, C., ‘The economics of computer hacking’, Journal of Law, Economics and Policy, 2006, 511-532

[40] GRABOSKY, P., en SMITH, R., ‘Telecommunication fraud in the digital age’ in Crime and the internet, WALL, D.S. (ed.), London, Routledge, 2001, 240p; LEESON, P., en COYNE, C., ‘The economics of computer hacking’, Journal of Law, Economics and Policy, 2006, 511-532; FREY, D. (02/11/2003) ‘An analysis of cybercrime. Past, present and future’ [WWW] University at Buffalo : http://www.acsu.buffalo.edu/~djfrey/ICO631/631final_individual.pdf [7/04/2006]

[41] VERTON, D., Dagboek van een hacker (vertaling), Haarlem, E-com Publishing, 2002, 348p

[42] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[43] GRABOSKY, P., en SMITH, R., ‘Telecommunication fraud in the digital age’ in Crime and the internet, WALL, D.S. (ed.), London, Routledge, 2001, 240p

[44] GRABOSKY, P., en SMITH, R., ‘Telecommunication fraud in the digital age’ in Crime and the internet, WALL, D.S. (ed.), London, Routledge, 2001, 240p

[45] GRABOSKY, P. (13/03/2000) ‘Computer Crime in a world without borders’ [WWW] Computer Crime Research Center : http://www.crime-research.org/library/peter.htm [9/04/2006]

[46] RYAN, M.P., Knowledge Diplomacy. Global Competition and the Politics of Intellectual Property, Washington, Brookings Institution Press, 1998, 249p

[47] VAN ESCH, R. (21/09/2004) ‘De betrouwbaarheid van het handelsverkeer (ecommerce)’ in

ITeR 63 - Zeven essays over informatietechnologie en recht [WWW] eJure – Kenniscentrum ICT en Recht: http://www.ejure.nl/mode=display/dossier_id=270/id=253/downloads/ITeR_63_Essay_3.pdf [10/04/2006]

[48] BUCHANAN, J., en GRANT, A., ‘Investigating and Prosecuting Nigerian Fraud’, United States Attorneys’ Bulletin, 2001, afl 11, 39-47

[49] X., ‘Phishing. Hoe werkt dat?’, Atrium News. Nieuwsbrief van de directie DGJ/DJF, 2004, afl 0, 2-3

[50] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[51] BEREND, L. (2003) ‘Wireless Network Hacking’ [WWW] GSEC Certified Professionals : http://www.giac.org/certified_professionals/practicals/gsec/2372.php [10/04/2006]

[52] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[53] YAN, J., BLACKWELL, A., ANDERSON, R., en GRAND, A., ‘Password Memorability and Security. Empirical Results’, IEEE Security & Privacy, 2004, afl 5, 25-31

[54] GUBBELS, F., ICT-Infrastructuur en Datacommunicatie, Den Haag, Academic Service, 2005, 572p

[55] GUBBELS, F., ICT-Infrastructuur en Datacommunicatie, Den Haag, Academic Service, 2005, 572p

[56] FREY, D. (02/11/2003) ‘An analysis of cybercrime. Past, present and future’ [WWW] University at Buffalo : http://www.acsu.buffalo.edu/~djfrey/ICO631/631final_individual.pdf [7/04/2006]

[57] MAERTENS, F. (14/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] filip.maertens@ysecorp.com [14/12/2005]; VANDERWEE, S., ‘Geen deus ex machina voor informatiebeveiliging’, Het Ingenieursblad, 2005, afl 11-12, 48-49

[58] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p; TSIPENYUK, K., CHESS, B., en McGRAW, G., ‘Seven Pernicious Kingdoms. A Taxonomy of Software Security Errors’, IEEE Security & Privacy, 2005, afl 6, 81-84; ARORA, A., en TELANG, R., ‘Economics of Software Vulnerability Disclosure’, IEEE Security & Privacy, 2005, afl 1, 20-25; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[59] TSIPENYUK, K., CHESS, B., en McGRAW, G., ‘Seven Pernicious Kingdoms. A Taxonomy of Software Security Errors’, IEEE Security & Privacy, 2005, afl 6, 81-84

[60] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[61] PINCUS, J., en BAKER, B., ‘Beyond Stack Smashing. Recent Advances in Exploiting Buffer Overruns’, IEEE Security & Privacy, 2004, afl 4, 20-27

[62] Aleph One (08/11/1996) ‘Smashing The Stack For Fun And Profit’ in Phrack, Volume Seven, Issue Forty-Nine [WWW] Phrack: Hacker magazine: http://www.phrack.org/phrack/49/P49-14 [28/12/2005]

[63] Aleph One (08/11/1996) ‘Smashing The Stack For Fun And Profit’ in Phrack, Volume Seven, Issue Forty-Nine [WWW] Phrack: Hacker magazine: http://www.phrack.org/phrack/49/P49-14 [28/12/2005]

[64] DELAERE, F. (11/04/2006) ‘Re: Buffer Overflows’ [e-mail] frederik.delaere@gmail.com [11/04/2006]

[65] Aleph One (08/11/1996) ‘Smashing The Stack For Fun And Profit’ in Phrack, Volume Seven, Issue Forty-Nine [WWW] Phrack: Hacker magazine: http://www.phrack.org/phrack/49/P49-14 [28/12/2005]; PINCUS, J., en BAKER, B., ‘Beyond Stack Smashing. Recent Advances in Exploiting Buffer Overruns’, IEEE Security & Privacy, 2004, afl 4, 20-27; SEACORD, R., ‘Secure Coding in C and C++. Of Strings and Integers’, IEEE Security & Privacy, 2006, afl 1, 74-76

[66] TSIPENYUK, K., CHESS, B., en McGRAW, G., ‘Seven Pernicious Kingdoms. A Taxonomy of Software Security Errors’, IEEE Security & Privacy, 2005, afl 6, 81-84

[67] VERMEERSCH, D. (11/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] dominique@trinch.com [11/12/2005]

[68] LITCHFIELD, D. (08/09/2003) ‘Defeating the Stack Based Buffer Overflow Prevention Mechanism of

Microsoft Windows 2003 Server’ [WWW] Packet Storm Security : http://packetstorm.digital-network.net/papers/bypass/defeating-w2k3-stack-protection.pdf [11/04/2006]

[69] TSIPENYUK, K., CHESS, B., en McGRAW, G., ‘Seven Pernicious Kingdoms. A Taxonomy of Software Security Errors’, IEEE Security & Privacy, 2005, afl 6, 81-84

[70] RAYNAL, F., BLAESS, C., en GRENIER, C. (11/2001) ‘les “race conditions”’ in Éviter les failles de sécurité dès le développement d'une application [WWW] LinuxFocus Magazine: http://www.linuxfocus.org/Francais/September2001/article198.shtml [03/01/2006]

[71] MAERTENS, F. (14/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] filip.maertens@ysecorp.com [14/12/2005]

[72] RAYNAL, F., BLAESS, C., en GRENIER, C. (11/2001) ‘les “race conditions”’ in Éviter les failles de sécurité dès le développement d'une application [WWW] LinuxFocus Magazine: http://www.linuxfocus.org/Francais/September2001/article198.shtml [03/01/2006]

[73] Voor meer info, zie : RAYNAL, F., BLAESS, C., en GRENIER, C. (11/2001) ‘les “race conditions”’ in Éviter les failles de sécurité dès le développement d'une application [WWW] LinuxFocus Magazine: http://www.linuxfocus.org/Francais/September2001/article198.shtml [03/01/2006]

[74] TSIPENYUK, K., CHESS, B., en McGRAW, G., ‘Seven Pernicious Kingdoms. A Taxonomy of Software Security Errors’, IEEE Security & Privacy, 2005, afl 6, 81-84

[75] BARCLAY, K., C leerboek (vertaald), Schoonhoven, Academic Service, 1991, 602p

[76] SCUT (z.d.) Exploiting Format String Vulnerabilities [WWW] Bughunter – Security Papers: http://doc.bughunter.net/format-string/exploit-fs.html [03/01/2006]

[77] SCUT (z.d.) Exploiting Format String Vulnerabilities [WWW] Bughunter – Security Papers: http://doc.bughunter.net/format-string/exploit-fs.html [03/01/2006]

[78] TSIPENYUK, K., CHESS, B., en McGRAW, G., ‘Seven Pernicious Kingdoms. A Taxonomy of Software Security Errors’, IEEE Security & Privacy, 2005, afl 6, 81-84

[79] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p; TSIPENYUK, K., CHESS, B., en McGRAW, G., ‘Seven Pernicious Kingdoms. A Taxonomy of Software Security Errors’, IEEE Security & Privacy, 2005, afl 6, 81-84; ARORA, A., en TELANG, R., ‘Economics of Software Vulnerability Disclosure’, IEEE Security & Privacy, 2005, afl 1, 20-25; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[80] De allereerste worm kwam er in 1988 en maakte gebruik van een stack overflow aanval : BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[81] FELDMANN, E. (12/09/2005) ‘Patch voor buffer overflow-lek in Firefox’ [WWW] Webwereld: http://www.webwereld.nl/articles/37231 [04/01/2006]

[82] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005; VERMEERSCH, D. (11/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] dominique@trinch.com [11/12/2005]

[83] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005; VERMEERSCH, D. (11/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] dominique@trinch.com [11/12/2005]; BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[84] STERLING, B., ‘Is the Net Doomed?’, PC World, 2005, 111-114

[85] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329; VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p

[86] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p

[87] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[88] IP : een protocol (InternetProtocol) dat wordt gebruikt om computersystemen met elkaar te laten communiceren op netwerken

[89] GUBBELS, F., ICT-Infrastructuur en Datacommunicatie, Den Haag, Academic Service, 2005, 572p

[90] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329; VAN WYK, K., en McGRAW, G., ‘Bridging the Gap between Software Development and Information Security’, IEEE Security & Privacy, 2005, afl 5, 75-79; HOWARD, M., ‘Building More Secure Software with Improved Development Processes’, IEEE Security & Privacy, 2004, afl 6, 63-65

[91] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[92] LOFGREN, K., PERSSON, T., en WETBULL J., ‘Markets with asymmetric information: The contributions of George Akerlof, Michael Spence and Joseph Stiglitz’, Scandinavion Journal of Economics, 2002, 195-211

[93] POST, A. (11/2004) ‘Spyware en overige malware in de Benelux’ [WWW] Symantec Nederland : http://ecs.symantec.com/region/nl/nlabout/download/SpywareMalware.pdf [29/11/2005]; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005; VERMEERSCH, D. (11/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] dominique@trinch.com [11/12/2005]

[94] HOWARD, M., ‘Building More Secure Software with Improved Development Processes’, IEEE Security & Privacy, 2004, afl 6, 63-65

[95] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[96] HOORELBEKE, G (10/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] gina.hoorelbeke@skynet.be [2005/12/10]; DELAERE, F (07/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] frederik.delaere@gmail.com [07/12/2005]; VERMEERSCH, D. (11/12/2005) ‘Re: Vraag ivm mijn scriptie’ [e-mail] dominique@trinch.com [11/12/2005]

[97] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p

[98] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[99] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p

[100] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[101] McHUGH, J., ‘The FireFox Explosion’, Wired Magazine, 2005, 97-104; KUM, ‘Internet Explorer verliest verder marktaandeel’, Het Nieuwsblad, 20 september 2004; X. (28/05/2004) ‘Microsoft's Internet Explorer global usage share is 93.9 percent according to OneStat.com’ in Press Box [WWW] OneStat: http://www.onestat.com/html/aboutus_pressbox30.html [05/01/2005]; KÜCHLER, M. (25/11/2004) ‘Firefox knaagt aan marktaandeel Internet Explorer’ in Aktueel Marketing Nieuws [WWW] Marketing Consultancy: http://www.marketingconsultancy.be/item/372 [05/01/2005]

[102] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[103] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[104] HEALY, M., ‘The inevitable lock-in’, Computable, 2001, afl 50, 27

[105] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[106] Convention on Cybercrime, Budapest, 23 november 2001, E.T.S. nr. 185

[107] Raad van Europa (13/01/2006) ‘Convention on Cybercrime. Status as of 13/1/2006’ [WWW] Council of Europe: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=&CL=ENG [13/01/2006]

[108] Raad van Europa (13/01/2006) ‘Convention on Cybercrime. Status as of 13/1/2006’ [WWW] Council of Europe: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=&CL=ENG [13/01/2006]

[109] Convention on Cybercrime, Budapest, 23 november 2001, E.T.S. nr. 185

[110] Raad van Europa (z.d.) ‘Main lines of the Convention’ in Cybercrime [WWW] Council of Europe: http://www.coe.int/T/E/Com/Files/Themes/Cybercrime/e_lignesconv.asp [19/12/2005]

[111] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[112] VAN DEN WYNGAERT, C, Strafrecht, Strafprocesrecht & Internationaal Strafrecht- Deel II, Antwerpen, Maklu, 2005, 1192p

[113] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[114] Raad van Europa (13/01/2006) ‘Convention on Cybercrime. Status as of 13/1/2006’ [WWW] Council of Europe: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=8&DF=&CL=ENG [13/01/2006]

[115] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[116] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[117] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p

[118] AOL/NCSA (12/2005) ‘AOL/NCSA Online Safety Study. Conducted by America Online and the National Cyber Security Alliance’ [WWW] Stay Safe Online. National Cyber Security Alliance. Features: http://www.staysafeonline.info/pdf/safety_study_2005.pdf  [17/04/2006]

[119] VANDERWEE, S., ‘Geen deus ex machina voor informatiebeveiliging’, Het Ingenieursblad, 2005, afl 11-12, 48-49; VANDERWEE, S., ‘U bent de zwakste schakel’, Het ingenieursblad, 2005, afl 11-12, 50-52; HAMELINK, C.J., The Ethics Of Cyberspace, London, Sage Publications, 2001, 224p; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[120] GUBBELS, F., ICT-Infrastructuur en Datacommunicatie, Den Haag, Academic Service, 2005, 572p

[121] YAN, J., BLACKWELL, A., ANDERSON, R., en GRAND, A., ‘Password Memorability and Security. Empirical Results’, IEEE Security & Privacy, 2004, afl 5, 25-31

[122] JOHNSON, G.J., ‘A Distinctiveness Model of Serial Learning’, Psychological Review, 1991, 204-217; MILLER, G.A., ‘The Magical Number Seven, Plus or Minus Two. Limits on Our Capacity for Processing Information’, Psychological Review, 1956, 81-87

[123] PATTERSON, B., letter to Communications of the ACM, 2000, afl 4, 11-12

[124] GRANGER, S. (18/12/2001) ‘Social Engineering Fundamentals, Part I: Hacker Tactics’ [WWW] SecurityFocus: http://www.securityfocus.com/infocus/1527 [5/04/2006]

[125] WINKLER, I., Corporate Espionage, New York, Prima Publishing, 1997, 365p

[126] GRANGER, S. (18/12/2001) ‘Social Engineering Fundamentals, Part I: Hacker Tactics’ [WWW] SecurityFocus: http://www.securityfocus.com/infocus/1527 [5/04/2006]

[127] GRANGER, S. (18/12/2001) ‘Social Engineering Fundamentals, Part I: Hacker Tactics’ [WWW] SecurityFocus: http://www.securityfocus.com/infocus/1527 [5/04/2006]

[128] VERTON, D., Dagboek van een hacker (vertaling), Haarlem, E-com Publishing, 2002, 348p

[129] WINKLER, I., Corporate Espionage, New York, Prima Publishing, 1997, 365p

[130] WINKLER, I., Corporate Espionage, New York, Prima Publishing, 1997, 365p; VERTON, D., Dagboek van een hacker (vertaling), Haarlem, E-com Publishing, 2002, 348p; GRANGER, S. (18/12/2001) ‘Social Engineering Fundamentals, Part I: Hacker Tactics’ [WWW] SecurityFocus: http://www.securityfocus.com/infocus/1527 [5/04/2006]

[131] VANDERWEE, S., ‘U bent de zwakste schakel’, Het ingenieursblad, 2005, afl 11-12, 50-52

[132] AOL/NCSA (12/2005) ‘AOL/NCSA Online Safety Study. Conducted by America Online and the National Cyber Security Alliance’ [WWW] Stay Safe Online. National Cyber Security Alliance. Features: http://www.staysafeonline.info/pdf/safety_study_2005.pdf  [17/04/2006]

[133] SMITH, S.W., ‘Pretending that Systems are Secure’, IEEE Security & Privacy, 2005, afl 6, 73-76; Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[134] FREY, D. (02/11/2003) ‘An analysis of cybercrime. Past, present and future’ [WWW] University at Buffalo : http://www.acsu.buffalo.edu/~djfrey/ICO631/631final_individual.pdf [7/04/2006]

[135] JEWKES, Y., Dot.cons. Crime, Deviance and Identity on the Internet, Cullompton, Willan publishing, 2003, 200p; LEESON, P., en COYNE, C., ‘The economics of computer hacking’, Journal of Law, Economics and Policy, 2006, 511-532

[136] STAFFORD, T.F., en URBACZEWSKI, A., ‘Spyware. The Ghost In The Machine’, Communications of the Association for Information Systems, 2004, 291-306

[137] NIEUWENHUIZEN, M., (29/07/2005), ‘Georganiseerde misdaad vaak achter cybercrime’ [WWW] Computable Technologie: http://www.computable.nl/artikels/archief5/d30hb5nd.htm [06/12/2005]; DUHIGG, C., Strong Attackers, Weak Software. Recent Outbreaks Show Virus Writers’ Growing Power, Washington Post, 21 augustus 2003; SCHNEIER, B., ‘Customers, Passwords and Websites’, IEEE Security & Privacy, 2004, afl 4, 88

[138] STAFFORD, T.F., en URBACZEWSKI, A., ‘Spyware. The Ghost In The Machine’, Communications of the Association for Information Systems, 2004, 291-306

[139] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[140] YAN, J., BLACKWELL, A., ANDERSON, R., en GRAND, A., ‘Password Memorability and Security. Empirical Results’, IEEE Security & Privacy, 2004, afl 5, 25-31

[141] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[142] Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport); STERLING, B., ‘Is the Net Doomed?’, PC World, 2005, 111-114; KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39; SCHNEIER, B., ‘Customers, Passwords and Websites’, IEEE Security & Privacy, 2004, afl 4, 88

[143] Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport); KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39

[144] KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39

[145] FREY, D. (02/11/2003) ‘An analysis of cybercrime. Past, present and future’ [WWW] University at Buffalo : http://www.acsu.buffalo.edu/~djfrey/ICO631/631final_individual.pdf [7/04/2006]

[146] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[147] CHEUNG, S., ‘Denial of Service against the Domain Name System’, IEEE Security & Privacy, 2006, afl 1, 40-45; CAMPBELL, P., ‘The Denial-of-Service Dance’, IEEE Security & Privacy, 2005, afl 6, 34-40

[148] LEVY, E., ‘Approaching Zero’, IEEE Security & Privacy, 2004, afl 4, 65-66

[149] VOLDERS, B (14/01/2006) ‘Re: pureesoiree ddos’ [e-mail] bert.volders@telenet.be [14/01/2006]

[150] VOLDERS, B (14/01/2006) ‘Re: pureesoiree ddos’ [e-mail] bert.volders@telenet.be [14/01/2006]

[151] Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport)

[152] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005; Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006; Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport)

[153] Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport)

[154] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006; Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport)

[155] Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport)

[156] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[157] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[158] KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39

[159] WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[160] INMAN, K. (26/11/2001) ‘International Best Practices in Internet Enforcement Program’ [WWW] APEC Financial Regulators’ Training Initiative: http://adb.org/Projects/APEC/Investigation/Internet_Enforcement.pdf [18/04/2006]; GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2005), ‘CSI/FBI Computer Crime and Security Survey 2005’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]; Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport)

[161] GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2005), ‘CSI/FBI Computer Crime and Security Survey 2005’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]

[162] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[163] GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2005), ‘CSI/FBI Computer Crime and Security Survey 2005’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]

[164] GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2005), ‘CSI/FBI Computer Crime and Security Survey 2005’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]

[165] GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2004), ‘CSI/FBI Computer Crime and Security Survey 2004’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]

[166] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel , 21 april 2006; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[167] CLEMONS, E. K., REDDI, S. P., en ROW, M. C., ‘The Impact of Information Technology on the Organization of Economic Activity. The “Move to the Middle” Hypothesis’, Journal of Management Information Systems, 1993, afl 2, 9-36

[168] GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2004), ‘CSI/FBI Computer Crime and Security Survey 2004’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]

[169] FISHER, S.E., ‘Seeking full protection for Net assets’, InfoWorld, 2001, afl 41, 44; KESAN, J.P., MAJUCA, R.P., en YURCIK, W.J. (2005) ‘The Economic Case for Cyberinsurance’ [WWW] Social Security Research Network: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=577862 [17/04/2006]; YURCIK, W.J. en DOSS, D. (2005) ‘CyberInsurance: A Market Solution to the Internet Security Market Failure’ [WWW] Center for Computer Research in Music and Acoustics: http://ccrma.stanford.edu/~jhw/bioauth/andre/PaperCyberInsurance.pdf [16/04/2006]

[170] GORDON, L.A., LOEB, M. P., en SOHAIL, T, ‘A Framework for Using Insurance for Cyber Risk Management’, Communications of the ACM, 2003, afl 3, 81-85

[171] GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2004), ‘CSI/FBI Computer Crime and Security Survey 2004’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]

[172] ASHCROFT, J. (20/07/2001) ‘Cybercrime announcement’ [WWW] United States Department of Justice – Cybercrime: http://www.usdoj.gov/criminal/cybercrime/chipagsp.htm [19/04/2006]

[173] FREY, D. (02/11/2003) ‘An analysis of cybercrime. Past, present and future’ [WWW] University at Buffalo : http://www.acsu.buffalo.edu/~djfrey/ICO631/631final_individual.pdf [7/04/2006]

[174] GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2004), ‘CSI/FBI Computer Crime and Security Survey 2004’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]

[175] Wet van 28 november 2000 inzake informaticacriminaliteit, B.S. 3 februari 2001

[176] Art. 210bis Sw.

[177] Art. 504quater Sw.

[178] Art. 550bis Sw.

[179] Art. 550ter Sw.

[180] Art. 88ter Sv.

[181] Art. 39bis Sv.

[182] Art. 88quater Sv.

[183] Art. 109terE, Telecomwet van 21 maart 1991, zoals gewijzigd door de Wet Informaticacriminaliteit van 28 november 2000

[184] KEUSTERMANS, J., ‘Belgisch voorontwerp van de wet inzake informaticacriminaliteit’, Computerr., 1990, 208

[185] VAN EECKE, P., en DUMORTIER, J., ‘De implementatie van het Europees verdrag cybercriminaliteit in de Belgische wetgeving’, Computerr., 2003, afl. 2, 123; DE VILLENFAGNE, F., en DUSOLLIER, S., ‘La Belgique sort enfin ses armes contre la cybercriminalité: à propos de la loi du 28 novembre 2000 sur la criminalité informatique’,  Auteurs & Media, 2001, 60; DUMORTIER, J., VAN OUDENHOVE, B., en VAN HEECKE, P., ‘De nieuwe Belgische wetgeving inzake informaticacriminaliteit’,  Vigiles, 2001, 44

[186] Memorie van toelichting, Parl. St., Kamer, 1999-00, nr. 50-213/001, 3

[187] Memorie van toelichting, Parl. St., Kamer, 1999-00, nr. 50-213/001, 9

[188] DEBAETS, A., DEENE, J., en SENEL, N., ‘Cybercriminaliteit’ in Aspecten van Europees materieel strafrecht, VERMEULEN, G. (ed.), Antwerpen, Maklu, 2002, 517p

[189] Memorie van toelichting, Parl. St., Kamer, 1999-00, nr. 50-213/001, 13

[190] Convention on Cybercrime, Budapest, 23 november 2001, E.T.S. nr. 185

[191] Convention on Cybercrime, Budapest, 23 november 2001, E.T.S. nr. 185

[192] Convention on Cybercrime, Budapest, 23 november 2001, E.T.S. nr. 185

[193] Convention on Cybercrime, Budapest, 23 november 2001, E.T.S. nr. 185

[194] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[195] WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[196] WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[197] GRABOSKY, P., en SMITH, R., ‘Telecommunication fraud in the digital age’ in Crime and the internet, WALL, D.S., (ed.), London, Routledge, 2001, 240p

[198] INMAN, K. (26/11/2001) ‘International Best Practices in Internet Enforcement Program’ [WWW] APEC Financial Regulators’ Training Initiative: http://adb.org/Projects/APEC/Investigation/Internet_Enforcement.pdf [18/04/2006]; GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2005), ‘CSI/FBI Computer Crime and Security Survey 2005’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]; Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport); WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[199] WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117; GORDON, L.A., LOEB, M.P., LUCYSHYN, W., en RICHARDSON, R. (2005), ‘CSI/FBI Computer Crime and Security Survey 2005’ [WWW] Computer Security Institute: http://www.gocsi.com/ [18/04/2006]

[200] WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[201] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[202] WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[203] VERTON, D., Dagboek van een hacker (vertaling), Haarlem, E-com Publishing, 2002, 348p; WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[204] DRIESSENS, K. (28/06/2004), ‘Crime pays. Virus-makers zijn gegeerde IT-ers’ in Computervirus-alarm [WWW] Gazet Van Antwerpen. Dossiers : http://www.gva.be/dossiers/-c/computervirus/default.asp [25/04/2006]

[205] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[206] VAN DEN WYNGAERT, C., Strafrecht, Strafprocesrecht & Internationaal Strafrecht. Deel II, Antwerpen, Maklu, 2003, 1192p

[207] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[208] SCHWARZ, J.M., ‘A Case of Identity. A Gaping Hole in the Chain of Evidence of Cyber-Crime’, Journal of Science and Technology Law, 2003, 92-127

[209] Wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven, B.S., 27 maart 1991

[210] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[211] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[212] Convention on Cybercrime, Budapest, 23 november 2001, E.T.S. nr. 185

[213] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[214] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[215] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[216] TANENBAUM, S.T., Computer Networks, Englewood Cliffs, Prentice Hall PTR, 2002, 912p; CICCARELLI, P., en FAULKNER, C., Networking Foundations, London, Sybex, 2004, 351p

[217] TANENBAUM, S.T., Computer Networks, Englewood Cliffs, Prentice Hall PTR, 2002, 912p

[218] TANENBAUM, S.T., Computer Networks, Englewood Cliffs, Prentice Hall PTR, 2002, 912p; CICCARELLI, P., en FAULKNER, C., Networking Foundations, London, Sybex, 2004, 351p

[219] GERALD, A. M., ‘Network Security Basics’, IEEE Security & Privacy, 2005, afl 6, 68-72; WRIGHT, J. (21/01/2003) ‘Detecting Wireless LAN MAC Address Spoofing’ [WWW] Johnson & Wales University: http://home.jwu.edu/jwright/papers/wlan-mac-spoof.pdf [27/04/2006]

[220] DE BUCK, W., ‘Jongeren denken dat alles kan en mag op internet. Campagne Safer Internet waarschuwt jongeren voor kinderporno, racisme en sektes’, Het Nieuwsblad, 8 februari 2005

[221] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[222] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[223] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005; gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[224] COOLS, M., ‘Een libertarische uitleiding voor de publiek-private fraudebestrijding’ in Publiek-private fraudebestrijding, Politeia, Brussel, 2001, 109-115

[225] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[226] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[227] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005; Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[228] VAN DEN WYNGAERT, C, Strafrecht, Strafprocesrecht & Internationaal Strafrecht- Deel I, Antwerpen, Maklu, 2005, 1192p

 

[229] KSHETRI, N., ‘The Simple Economics of Cybercrimes’, IEEE Security & Privacy, 2006, afl 1, 33-39; WOLF, J.B., ‘War games meets the internet. Chasing 21st century cybercriminals with old laws and little money’, American Journal of Criminal Law, 2000, 95-117

[230] VAN DEN WYNGAERT, C, Strafrecht, Strafprocesrecht & Internationaal Strafrecht- Deel I, Antwerpen, Maklu, 2005, 1192p

[231] VAN DEN WYNGAERT, C, Strafrecht, Strafprocesrecht & Internationaal Strafrecht- Deel I, Antwerpen, Maklu, 2005, 1192p

[232] VAN DEN WYNGAERT, C, Strafrecht, Strafprocesrecht & Internationaal Strafrecht- Deel I, Antwerpen, Maklu, 2005, 1192p

[233] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[234] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[235] Koninklijk Besluit van 14 februari 2006 tot wijziging van het Koninklijk Besluit van 21 juni 1996 houdende oprichting van het College voor inlichting en veiligheid, B.S., 20 februari 2006

[236] Koninklijk Besluit van 21 juni 1996 houdende oprichting van het College voor inlichting en veiligheid, B.S., 5 september 1996

[237] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[238] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[239] Ministerie van Verkeer en Waterstaat, Kwetsbaarheid van het Internet, Stratix Consulting Group, Schiphol, januari 2001, 224p (eindrapport)

[240] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[241] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[242] Wet van 13 juni 2005 betreffende de elektronische communicatie, B.S., 20 juni 2005

[243] Wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven, B.S., 27 maart 1991

[244] X. (z.d.) ‘Informatisering’ [WWW] Peter Vanvelthoven: http://www.petervanvelthoven.be/article.php?id=170 [09/05/2006]

[245] VANDERMAESEN, J., ‘Computerdokters aan huis. Vijfhonderd Responsible Young Security Agents uitgestuurd’, Het Nieuwsblad, zondag 6 november 2005

[246] ADA (12/2005) ‘Schiet Peeceefobie-campagne haar doelpubliek voorbij?’ [WWW] ADA – vrouwen en nieuwe technologieën: http://www.ada-online.org/nlada/article.php3?id_article=243 [9/05/2006]

[247] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[248] GOBERT, J., en PUNCH, M., Rethinking corporate crime, London, Butterworths Lexis-Nexis, 2003, 379p; PUNCH, M., ‘Why managers murder and corporations kill’, Crime, Law and Social Change, 2000, 243-280; VANDE WALLE, G., ‘Slachtoffers van het farmaceutisch complex. Een verwaarloosd aspect van organisatiecriminaliteit’, Tijdschrift voor Criminologie, 2004, 134-144

[249] Wet van 13 juni 2005 betreffende de elektronische communicatie, B.S., 20 juni 2005

[250] LERNER, J., en TIROLE, J., ‘Some Simple Economics of Open Source’, Journal of Industrial Economics, 2002, 197-234

[251] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[252] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[253] RAFAIL, J. A. en MANION, A. (1/11/2003), ‘CERT® Advisory CA-2003-24 Buffer Management Vulnerability in OpenSSH’ [WWW] CERT: http://www.cert.org/advisories/CA-2003-24.html [30/04/2006]

[254] VON HIPPEL, E., ‘Innovation by User Communities. Learning from Open-Source Software’, MIT Sloan Management Review, 2001, 82-87; LERNER, J., en TIROLE, J., ‘Some Simple Economics of Open Source’, Journal of Industrial Economics, 2002, 197-234; BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[255] LERNER, J., en TIROLE, J., ‘Some Simple Economics of Open Source’, Journal of Industrial Economics, 2002, 197-234

[256] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[257] LEVY, E., ‘Approaching Zero’, IEEE Security & Privacy, 2004, afl 4, 65-66

[258] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[259] KEIZER, G. (21/11/2005) ‘The Window of Exposure Narrows’ [WWW] Security Pipelines: http://www.securitypipeline.com/174400448 [27/02/2006]

[260] LEVY, E., ‘Approaching Zero’, IEEE Security & Privacy, 2004, afl 4, 65-66

[261] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005; LEVY, E., ‘Approaching Zero’, IEEE Security & Privacy, 2004, afl 4, 65-66; KEIZER, G. (21/11/2005) ‘The Window of Exposure Narrows’ [WWW] Security Pipelines: http://www.securitypipeline.com/174400448 [27/02/2006]

[262] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[263] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[264] Wet van 13 juni 2005 betreffende de elektronische communicatie, B.S., 20 juni 2005

[265] VERDON, D., en McGRAW, G., ‘Risk Analysis in Software Design’, IEEE Security & Privacy, 2004, afl 4, 79-84; Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[266] VIEGA, J., en McGRAW, G., Building Secure Software. How to Avoid Security Problems the Right Way, New York , Addison-Wesley Professional Computing, 2001, 528p

[267] ARORA, A., KRISHNAN, R., NANDKUMAR, A., TELANG, R., en YANG, Y. (04/2004) ‘Impact of Vulnerability Disclosure and Patch Availability. An Empirical Analysis’ [WWW] , Digital Technology Center: http://www.dtc.umn.edu/ weis2004/telang.pdf [3/01/2006]

[268] Gesprek met F. MAERTENS, VICE-PRESIDENT Ysecorp, Meulebeke, 28 december 2005; ARORA, A., KRISHNAN, R., NANDKUMAR, A., TELANG, R., en YANG, Y. (04/2004) ‘Impact of Vulnerability Disclosure and Patch Availability. An Empirical Analysis’ [WWW] , Digital Technology Center: http://www.dtc.umn.edu/ weis2004/telang.pdf [3/01/2006]

[269] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[270] VERTON, D., Dagboek van een hacker (vertaling), Haarlem, E-com Publishing, 2002, 348p

[271] BAUMANN, R. (24/11/2002) ‘Ethical Hacking’ [WWW] GSEC Certified Professionals : http://www.giac.org/certified_professionals/practicals/gsec/2468.php [3/05/2006]

[272] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329; DE CORTE, R., en DE GROOTE, B., ‘Zeg niet anoniem tegen naamloos’, De Juristenkrant, 24 september 2003

[273] DE BUCK, W., ‘Jongeren denken dat alles kan en mag op internet. Campagne Safer Internet waarschuwt jongeren voor kinderporno, racisme en sektes’, Het Nieuwsblad, 8 februari 2005

[274] PRINS, J.E.J., ‘Privacy, consument en het recht op anonimiteit. Een oud fenomeen in een nieuw jasje’ in De E-Consument, STUURMAN, K., WESTERDIJK, R., en SANDER, C., (Eds.), Den Haag, Elsevier, 2000, 143p; DE CORTE, R., en DE GROOTE, B., ‘Zeg niet anoniem tegen naamloos’, De Juristenkrant, 24 september 2003

[275] Gesprek met F. MAERTENS, VICE-PRESIDENT Ysecorp, Meulebeke, 28 december 2005

[276] PRINS, J.E.J., ‘Privacy, consument en het recht op anonimiteit. Een oud fenomeen in een nieuw jasje’ in De E-Consument, STUURMAN, K., WESTERDIJK, R., en SANDER, C., (Eds.), Den Haag, Elsevier, 2000, 143p

[277] PRINS, J.E.J., ‘Privacy, consument en het recht op anonimiteit. Een oud fenomeen in een nieuw jasje’ in De E-Consument, STUURMAN, K., WESTERDIJK, R., en SANDER, C., (Eds.), Den Haag, Elsevier, 2000, 143p

[278] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005; Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[279] Gesprek met F. MAERTENS, vice-president Ysecorp, Meulebeke, 28 december 2005

[280] BARNES, D.A., ‘Deworming the Internet’, Texas Law Review, 2004, 279-329

[281] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[282] AOL/NCSA (12/2005) ‘AOL/NCSA Online Safety Study. Conducted by America Online and the National Cyber Security Alliance’ [WWW] Stay Safe Online. National Cyber Security Alliance. Features: http://www.staysafeonline.info/pdf/safety_study_2005.pdf  [17/04/2006]

[283] Wet van 13 juni 2005 betreffende de elektronische communicatie, B.S., 20 juni 2005

[284] XS4ALL, (z.d.) ‘Als het mis gaat, wat dan ?’ in XS4ALL Veiligheidsmaatregelen [WWW] XS4ALL: http://www.xs4all.nl/veiligheid/maatregelen/  [03/04/2006]

[285] Gesprek met L. BEIRENS, diensthoofd Federal Computer Crime Unit, Brussel, 21 april 2006

[286] Gesprek met F. MAERTENS, vice-president, Ysecorp, Meulebeke, 28 december 2005

[287] XS4ALL, (z.d.) ‘Als het mis gaat, wat dan ?’ in XS4ALL Veiligheidsmaatregelen [WWW] XS4ALL: http://www.xs4all.nl/veiligheid/maatregelen/  [03/04/2006]