'Dorifel-uitbraak was sneller te stoppen via terughacken'
De Dorifel-virusuitbraak in augustus was waarschijnlijk veel sneller onder controle te brengen als de politie servers van de aanvallers had mogen hacken. Dat stelde Ronald Prins van beveiligingsbedrijf Fox-IT zondagmiddag in het tv-programma Buitenhof.
In Buitenhof werd er tussen D66-Europarlementariër Sophie in ’t Veld en Ronald Prins, directeur van Fox-IT, gediscussieerd over de 'terughack-voorstellen' van demissionair minister Opstelten. Volgens Opstelten moet de politie de bevoegdheid krijgen om bij ernstige cyber-misdrijven computers te kunnen hacken, ook al staan de betreffende systemen in het buitenland. De minister zegt zijn plannen in een wetsvoorstel op te zullen nemen.
Prins toonde zich voorstander van dergelijke nieuwe bevoegdheden. De Fox-IT-directeur stelde onder andere dat Nederlandse banken vrijwel alles hebben gedaan om de veiligheid van hun rekeninghouders te verbeteren, maar dat de huidige cybercriminaliteit nieuwe opsporingsbevoegdheden zoals 'terughacken' noodzakelijk maken.
De Fox-IT-directeur zei verder dat de Dorifel-virusuitbraak, waarbij afgelopen zomer systemen van de overheid dagenlang onbruikbaar waren en Fox-IT werd ingeschakeld, 'binnen mogelijk enkele uren' gestopt had kunnen worden als de systemen van de aanvallers gehackt hadden mogen worden. Volgens Prins zorgden de huidige wettelijke kaders ervoor dat het onder controle brengen van het via een botnet aangestuurde Dorifel-virus vier tot vijf dagen duurde. Ook mist Prins het Dorifel-incident als praktijkvoorbeeld in de plannen van Opstelten.
Sophie in 't Veld stelde vraagtekens bij de voorstellen. Zo is het volgens de D66-politica de vraag of een verdachte wel zal worden veroordeeld als de politie hacking toepast bij de opsporing. Volgens In 't Veld moet er gekeken worden of er Europese afspraken zijn te maken. Ook wees de Europarlementariër op maatregelen die door de politiek zijn genomen en in de praktijk niet doelmatig zijn gebleken, zoals het blokkeren van websites en de bewaarplicht voor telecomgegevens.
Reacties (92)
Dit lijkt mij een prima voorstel, maar enkel als er een rechter tussen zit. Zo houden we trias politica in stand en zorgen we ervoor dat Brein hiermee niet de mogelijkheid heeft bij verdenking van auteursrechtschending even op mijn hardeschijf gaat kijken.
1. Taps worden in Nederland niet eerst goedgekeurd door een rechter, maar slechts door de officier van Justitie. Maar justitie is afhankelijk van het feiten onderzoek (waarheids vinding) door de politie, dus niet de meest partijdige partij om te vragen om een telefoon tap.
De rechter bepaald achteraf of de telefoon tap gerechtvaardigd was. Indien deze niet terecht was, is er spake van een vormfout en gaat de verdachte vrijuit. Die regeling is juist zo gemaakt zodat justitie voorzichtig omgaat het met middel telefoon tap.
Verder waren er in 2008 gemiddeld dagelijks 1700 telefoontaps. Waarbij elke dag dat de tap loopt ook daadwerkelijk als tap wordt geteld. Een tap van 30 dagen komt dus niet in de boeken als slecht 1 tap, waar dat in Amerika wel gebeurt.
Wat je ook niet moet vergeten is dat in Amerika telefoontaps door de FBI en NSA (Homeland security) niet in de tellingen worden meegenomen. FBI zaken zijn vaak staats grens (overschrijdend en rechters worden per staat toegewezen. Wel is er een federale rechter, maar hoeveel taps deze toestaat aan de FBI en NSA is geheim, net zoals het aantal taps van de AIVD in Nederland niet bekend worden gemaakt.
Daarbij heeft in Nederland ieder korps zijn eigen (gescheiden) computer systeem en wordt er eigenlijk geen informatie tussen de korpsen uitgewisseld. Een van de redenen waarom we nu weer naar een rijks politie gaan. De politie korpsen rapporteren echter wel allemaal naar justitie en justitie geeft vervolgens weer terugkoppeling naar de andere korpsen.
Die isolerende werking zie je vaak ook terug naar andere hulpdiensten. C2000 had dat flink moeten verbeteren, maar helaas heeft dat systeem nog steeds veel kinderziektes.
Maar die kinderziektes kun je een beetje vergelijken met hoe de kabelmaatschappijen aan het worstelen waren met (stabiel) internet over de kabel. Tegenwoordig is kabel (in Nederland) een volwaardig alternatief voor *DSL of glasvezel..
Overigens betekent meer mensen niet automatisch meer criminaliteit. Dat is hetzelfde als roepen dat een verhoging van de snelheid automatisch meer lijd tot meer ongelukken, terwijl het absolute aantal ongelukken om snelwegen in Duitsland lager ligt dan in Nederland. In absolute getallen heeft Amerika natuurlijk wel meer opsporingsambtenaren, maar per 1000 inwoners zal het juist lager liggen.
De provincies Nood- en Zuid Holland zullen een veelvoud aan opsporingsambtenaren hebben dan de drie noordelijke provincies. Waarschijnlijk zijn Amsterdam, Rotterdam, Den Haag, Utrecht en Eindhoven goed voor zo'n 75% van de criminaliteit in Nederland want de meeste criminaliteit gebeurt nou eenmaal in de grote steden omdat in dorpen de mensen veel beter op elkaar letten. Als in een dorp een autoalarm afgaat zie je tenminste nog wat gordijnen opzij gaan omdat mensen toch even kijken wat er aan de hand is. In Rotterdam loopt iedereen door en heb je zelfs kans dat je zelf een probleem hebt omdat je auto zo'n lawaai maakt..
Een praktijkvoorbeeld dan: Als je in Amerika een stopteken negeert ga je zeer eenvoudig voor enkele weken de bak in. In Nederland krijg je een proces verbaal wegens Negeren van een stop steken en mag je naar huis met een boete van 220 euro. Het gevolg: In Nederland stoppen de meeste bestuurders als ze een stopteken krijgen, het nadeel is het zeer hoge aantal recidivisten en geen respect voor politie. In Amerika is er zeer veel respect voor politie, weinig recidivisten, maar proberen bestuurders wel vaker staande houding te voorkomen..
De Nederlandse politie mag maar beperkt opereren op Duits of Belgisch grondgebied en Europol stelt moment eigenlijk helemaal niets voor. In Amerika wordt computer criminaliteit dan ook als snel door de FBI (alle (lid)staten) opgepakt en niets slechts alleen door een Ranger uit Texas.
Daarbij is zelfs de FBI en de NSA zeer terughoudend met terughacken. Daarbij lijkt Opstelten geen onderscheid te maken tussen het terug hacker van een Dorifel server en het plaatsen van spyware op de computer van een verdachte zoals dat in Duitsland gebeurde.
Daarnaast als de spyware wordt ontdekt kan een verdachte zelfs claimen (zoals in Duitsland gebeurde) dan de gevonden zaken door de opsporingsdiensten zelfs op de computer was geplaatst.. Opstelten kan dan wel roepen dat dat niet gebeurt, maar politici roepen ook dat corruptie niet in Nederland voorkomt, maar toch worden momenteel twee VVD-ers verdacht van corruptie.
Maar stel ik ben een hacker en ontdekt dat er spyware op mijn computer staat en ik besluit vervolgens om de spyware (waarvan ik op dat moment nog niet weet dat deze van de politie is) terug te hacker als 'zelf verdediging'. Is de hacker dan fout bezig? Stel dat de Dorifel server op een server in Duitsland staat en men plaatst vervolgens de spyware op die server. Is de Nederlandse overheid op dat moment bezig met het bespioneren van een Duitse burger?
Daarbij wens ik FoxIt veel succes met de plaatsen van de spyware op mijn computer waarmee ik het internet benader want bij elke herstart wordt een VM-image terug gezet en downloads staan op een netwerk drive met een 'noexec' mount optie..
Verder is eigenlijk heel de image readonly behalve tmpfs welke in ram staat.
Ooit had ik deze image gemaakt als een 'clean install' om software te testen, maar zo'n twee jaar had ik zoiets dat dit wel handig is om een clean install te hebben van je internet 'computer'.
Daarbij als je al bezig bent met het binnendringen van overheids computers, terrorisme of kinderporno, dan zul je je ook niet zo druk maken over het feit dat je VMWare draait zonder de juiste licenties..
De rechter bepaald achteraf of de telefoon tap gerechtvaardigd was. Indien deze niet terecht was, is er spake van een vormfout en gaat de verdachte vrijuit. Die regeling is juist zo gemaakt zodat justitie voorzichtig omgaat het met middel telefoon tap.
Verder waren er in 2008 gemiddeld dagelijks 1700 telefoontaps. Waarbij elke dag dat de tap loopt ook daadwerkelijk als tap wordt geteld. Een tap van 30 dagen komt dus niet in de boeken als slecht 1 tap, waar dat in Amerika wel gebeurt.
Wat je ook niet moet vergeten is dat in Amerika telefoontaps door de FBI en NSA (Homeland security) niet in de tellingen worden meegenomen. FBI zaken zijn vaak staats grens (overschrijdend en rechters worden per staat toegewezen. Wel is er een federale rechter, maar hoeveel taps deze toestaat aan de FBI en NSA is geheim, net zoals het aantal taps van de AIVD in Nederland niet bekend worden gemaakt.
Daarbij heeft in Nederland ieder korps zijn eigen (gescheiden) computer systeem en wordt er eigenlijk geen informatie tussen de korpsen uitgewisseld. Een van de redenen waarom we nu weer naar een rijks politie gaan. De politie korpsen rapporteren echter wel allemaal naar justitie en justitie geeft vervolgens weer terugkoppeling naar de andere korpsen.
Die isolerende werking zie je vaak ook terug naar andere hulpdiensten. C2000 had dat flink moeten verbeteren, maar helaas heeft dat systeem nog steeds veel kinderziektes.
Maar die kinderziektes kun je een beetje vergelijken met hoe de kabelmaatschappijen aan het worstelen waren met (stabiel) internet over de kabel. Tegenwoordig is kabel (in Nederland) een volwaardig alternatief voor *DSL of glasvezel..
Overigens betekent meer mensen niet automatisch meer criminaliteit. Dat is hetzelfde als roepen dat een verhoging van de snelheid automatisch meer lijd tot meer ongelukken, terwijl het absolute aantal ongelukken om snelwegen in Duitsland lager ligt dan in Nederland. In absolute getallen heeft Amerika natuurlijk wel meer opsporingsambtenaren, maar per 1000 inwoners zal het juist lager liggen.
De provincies Nood- en Zuid Holland zullen een veelvoud aan opsporingsambtenaren hebben dan de drie noordelijke provincies. Waarschijnlijk zijn Amsterdam, Rotterdam, Den Haag, Utrecht en Eindhoven goed voor zo'n 75% van de criminaliteit in Nederland want de meeste criminaliteit gebeurt nou eenmaal in de grote steden omdat in dorpen de mensen veel beter op elkaar letten. Als in een dorp een autoalarm afgaat zie je tenminste nog wat gordijnen opzij gaan omdat mensen toch even kijken wat er aan de hand is. In Rotterdam loopt iedereen door en heb je zelfs kans dat je zelf een probleem hebt omdat je auto zo'n lawaai maakt..
Een praktijkvoorbeeld dan: Als je in Amerika een stopteken negeert ga je zeer eenvoudig voor enkele weken de bak in. In Nederland krijg je een proces verbaal wegens Negeren van een stop steken en mag je naar huis met een boete van 220 euro. Het gevolg: In Nederland stoppen de meeste bestuurders als ze een stopteken krijgen, het nadeel is het zeer hoge aantal recidivisten en geen respect voor politie. In Amerika is er zeer veel respect voor politie, weinig recidivisten, maar proberen bestuurders wel vaker staande houding te voorkomen..
De Nederlandse politie mag maar beperkt opereren op Duits of Belgisch grondgebied en Europol stelt moment eigenlijk helemaal niets voor. In Amerika wordt computer criminaliteit dan ook als snel door de FBI (alle (lid)staten) opgepakt en niets slechts alleen door een Ranger uit Texas.
Daarbij is zelfs de FBI en de NSA zeer terughoudend met terughacken. Daarbij lijkt Opstelten geen onderscheid te maken tussen het terug hacker van een Dorifel server en het plaatsen van spyware op de computer van een verdachte zoals dat in Duitsland gebeurde.
Daarnaast als de spyware wordt ontdekt kan een verdachte zelfs claimen (zoals in Duitsland gebeurde) dan de gevonden zaken door de opsporingsdiensten zelfs op de computer was geplaatst.. Opstelten kan dan wel roepen dat dat niet gebeurt, maar politici roepen ook dat corruptie niet in Nederland voorkomt, maar toch worden momenteel twee VVD-ers verdacht van corruptie.
Maar stel ik ben een hacker en ontdekt dat er spyware op mijn computer staat en ik besluit vervolgens om de spyware (waarvan ik op dat moment nog niet weet dat deze van de politie is) terug te hacker als 'zelf verdediging'. Is de hacker dan fout bezig? Stel dat de Dorifel server op een server in Duitsland staat en men plaatst vervolgens de spyware op die server. Is de Nederlandse overheid op dat moment bezig met het bespioneren van een Duitse burger?
Daarbij wens ik FoxIt veel succes met de plaatsen van de spyware op mijn computer waarmee ik het internet benader want bij elke herstart wordt een VM-image terug gezet en downloads staan op een netwerk drive met een 'noexec' mount optie..
Verder is eigenlijk heel de image readonly behalve tmpfs welke in ram staat.
Ooit had ik deze image gemaakt als een 'clean install' om software te testen, maar zo'n twee jaar had ik zoiets dat dit wel handig is om een clean install te hebben van je internet 'computer'.
Daarbij als je al bezig bent met het binnendringen van overheids computers, terrorisme of kinderporno, dan zul je je ook niet zo druk maken over het feit dat je VMWare draait zonder de juiste licenties..
hoogstwaarschijnlijk gaat een geautomatiseerd script de updates pushen naar alle slachtoffers dus dat is dan 3500 x 2000 + het verlies van de persoonlijke data.
klinkt erg redelijk...
je kan natuurlijk ook bestaande infrastructuren verbeteren waardoor de privacy van de burger niet geschonden hoeft te worden...
dit is natuurlijk wat makkelijker en op korte termijn goedkoper en levert wat meer op voor fox-it maar verder denk ik dat als je alles vergelijkt beter direct een x-miljoen kunt investeren dan later alsnog gedwongen moet upgraden of extra kosten maakt omdat fox-it het wel even op zou lossen...
toevallig ben ik ook weleens aan het prutsen geweest met malware en het is heel grappig, als je geen upnp o.i.d. aan hebt staan en uitgaande verbindingen blokkeerd (met uitzonderingen) dan kan het niet verbinden met een c&c server of updates binnen halen.
natuurlijk is het systeem nog geinfecteerd maar elke verandering in een systeem kan terug te vinden zijn als je maar op de juiste plek zoekt.
ik snap Uberhaupt niet dat gemeentes e.d. contact kunnen leggen met die i.p's aangezien dat geen officiele instanties zijn waar ze wat van hoeven te ontvangen ?
is het echt beter om miljoenen uit te geven aan een vals gevoel van macht/veiligheid bij calamiteiten in plaats van dat geld in vooruitgang te investeren ?
betaal daarmee cursussen om ze om te scholen naar linux, nieuwe hardware te kopen dat er fatsoenlijk mee overweg kan en om ontwikkelaars te huren die alternatieven voor de verouderde windows software kan creeren (dit zijn de redenen om niet over te stappen, toch ?)
want zeg nu zelf, windows xp gebruiken omdat je outlook/i.e.6 anders niet meer werkt dat je nodig hebt voor een mailserver uit 1998 (dit is een voorbeeld, daadwerkelijke set-up van gemeentes ken ik niet)
kom op mensen dat de medewerkers daar 40+ zijn betekend niet dat de software net zo oud hoeft te zijn.
of dit nu ligt aan een overheid die hier geen geld voor over wil hebben of sysadmins die zijn blijven hangen in de x86 tijd maakt me weinig uit, ik wil daar mijn privacy niet voor inleveren.
mijn punt is dat bij de getroffen gemeentes veel niet in orde is. overal is het maar een zootje dat met veel gedoe weer aan de rest is geknoopt, vervang die zooi geef iedereen een cursus, schroef de beveiliging omhoog, benader wat specialisten om het systeem te testen en laat de gewone burger nog een klein beetje privacy hebben.
edit: 3500 infecties in nl
klinkt erg redelijk...
je kan natuurlijk ook bestaande infrastructuren verbeteren waardoor de privacy van de burger niet geschonden hoeft te worden...
dit is natuurlijk wat makkelijker en op korte termijn goedkoper en levert wat meer op voor fox-it maar verder denk ik dat als je alles vergelijkt beter direct een x-miljoen kunt investeren dan later alsnog gedwongen moet upgraden of extra kosten maakt omdat fox-it het wel even op zou lossen...
toevallig ben ik ook weleens aan het prutsen geweest met malware en het is heel grappig, als je geen upnp o.i.d. aan hebt staan en uitgaande verbindingen blokkeerd (met uitzonderingen) dan kan het niet verbinden met een c&c server of updates binnen halen.
natuurlijk is het systeem nog geinfecteerd maar elke verandering in een systeem kan terug te vinden zijn als je maar op de juiste plek zoekt.
ik snap Uberhaupt niet dat gemeentes e.d. contact kunnen leggen met die i.p's aangezien dat geen officiele instanties zijn waar ze wat van hoeven te ontvangen ?
is het echt beter om miljoenen uit te geven aan een vals gevoel van macht/veiligheid bij calamiteiten in plaats van dat geld in vooruitgang te investeren ?
betaal daarmee cursussen om ze om te scholen naar linux, nieuwe hardware te kopen dat er fatsoenlijk mee overweg kan en om ontwikkelaars te huren die alternatieven voor de verouderde windows software kan creeren (dit zijn de redenen om niet over te stappen, toch ?)
want zeg nu zelf, windows xp gebruiken omdat je outlook/i.e.6 anders niet meer werkt dat je nodig hebt voor een mailserver uit 1998 (dit is een voorbeeld, daadwerkelijke set-up van gemeentes ken ik niet)
kom op mensen dat de medewerkers daar 40+ zijn betekend niet dat de software net zo oud hoeft te zijn.
of dit nu ligt aan een overheid die hier geen geld voor over wil hebben of sysadmins die zijn blijven hangen in de x86 tijd maakt me weinig uit, ik wil daar mijn privacy niet voor inleveren.
mijn punt is dat bij de getroffen gemeentes veel niet in orde is. overal is het maar een zootje dat met veel gedoe weer aan de rest is geknoopt, vervang die zooi geef iedereen een cursus, schroef de beveiliging omhoog, benader wat specialisten om het systeem te testen en laat de gewone burger nog een klein beetje privacy hebben.
edit: 3500 infecties in nl
[Reactie gewijzigd door the-dark-force op maandag 22 oktober 2012 01:33]
Dat de politie het recht krijgt om terug te hacken denk ik wel dat de meeste mensen dat een goed idee vinden, echter moet er ook goed opgelet worden dat de privacy van gewone burger gewaarborgd blijft, want TERUG hacken is iets anders dan gewoon mensen hacken om te kijken of er "niet heel toevallig misschien ooit" kinderporno of iets dergelijks op heeft gestaan.
Mooie term hoor, maar het dekt de lading totaal niet. Je zou verwachten dat terughacken alleen mag als een crimineel zelf aan het hacken is. Maar als het gaat om verdachten van kinderporno of zo, dan is hacken helemaal niet aan de orde en is "terughacken" dus een term die nergens op slaat. Dat is alsof een huiszoeking "terug-inbreken" genoemd zou worden. Die benaming is dus niet erg eerlijk gekozen, iets als "opsporend hacken" was beter geweest. Jammer dat er altijd gepoogd wordt voorstellen beter/slechter neer te zetten door er leuke namen aan te geven, dat bevordert een eerlijke discussie niet.
Als ik eerdere nieuwsberichten over terughacken lees, zie ik namelijk:
Als ik eerdere nieuwsberichten over terughacken lees, zie ik namelijk:
Spyware installeren heeft natuurlijk niets met verdediging tegen hackers te maken, dat is gewoon een zeer aanvallende hack.Daarbij noemt de minister de mogelijkheid voor 'terughacken', waaronder het inbreken in computers om spyware te kunnen installeren of deze te kunnen doorzoeken. Ook zouden opsporingsdiensten systemen mogen hacken om data te wissen.
[Reactie gewijzigd door bwerg op zondag 21 oktober 2012 14:21]
Ik ben tegen, want waar ligt de grens? Het is een afglijdende schaal.
Voorkomen is beter als genezen. Vooral omdat de getroven computers al onderdeel waren van een botnet.
Het virus versleutelt Word- en Excel-documenten en verandert de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. XDocCrypt/Dorifel - er bestaat nog geen eensluidende naamgeving voor het virus - verspreidt zich via bestaande infecties: alle netwerken van de getroffen instellingen waren al onder de controle van een botnet.
nieuws: Provincies en universiteiten besmet met nieuw virus - update 2
edit: zal het niet gewoon effectiever zijn geweest om de IP adressen via de ISP's te blokeren? Want wat als die command & control servers niet te hacken zijn?
Voorkomen is beter als genezen. Vooral omdat de getroven computers al onderdeel waren van een botnet.
Het virus versleutelt Word- en Excel-documenten en verandert de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. XDocCrypt/Dorifel - er bestaat nog geen eensluidende naamgeving voor het virus - verspreidt zich via bestaande infecties: alle netwerken van de getroffen instellingen waren al onder de controle van een botnet.
nieuws: Provincies en universiteiten besmet met nieuw virus - update 2
edit: zal het niet gewoon effectiever zijn geweest om de IP adressen via de ISP's te blokeren? Want wat als die command & control servers niet te hacken zijn?
[Reactie gewijzigd door tweakertje21 op zondag 21 oktober 2012 14:35]
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
