Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 103, views: 32.157 •

De KPN-hacker zag zijn acties als een kwajongensstreek. Dat denkt de teamleider van het Team High Tech Crime van de politie. "Ik denk niet dat hij de consequenties van zijn acties heeft overzien, terwijl het halve land in rep en roer was", aldus Pim Takkenberg.

KPN-hack"Je ziet dit wel vaker", zegt Takkenberg, "Het zijn vaak jongens die hacken grappig vinden, maar daarbij zien ze de effecten wel eens over het hoofd." Over de KPN-hacker zegt de teamleider: "Mijn inschatting is dat hij het zag als een kwajongensactie."

De KPN-hacker, een destijds 17-jarige uit Barendrecht, was een van die hobbyisten die vooral voor de lol aan het hacken was. Dat blijkt uit een reconstructie die deze maand in het politievakblad 24/7 verschijnt. In die reconstructie zegt Takkenberg: "Anderen sparen voetbalplaatjes, hij spaarde zo veel en zo groot mogelijke hacks."

De hacker brak vorig jaar in op honderden servers van KPN. Daarbij was hij in theorie in staat geweest om verkeer van KPN-klanten te onderscheppen, zoals Tweakers eerder berichtte. Ook had hij het vaste telefonienet kunnen manipuleren, waardoor toegang tot het noodnummer 112 in het geding zou zijn geweest. Dat heeft hij niet gedaan. "Hij heeft wel malware geïnstalleerd op de servers, en een Australiër de logingegevens van de KPN-servers overhandigd", benadrukt Takkenberg tegenover Tweakers, om aan te geven dat zijn bedoelingen zeker niet loepzuiver waren.

Ondanks dat de aanvaller het kwaad van zijn acties zelf mogelijk niet inzag, was het code rood op het moment dat de hack uitkwam, blijkt uit de reconstructie in het politievakblad. Een rechercheur zegt tegen het blad: "Gedachten vliegen door je hoofd: hoe erg is het, zal het telefoon- en internetverkeer in Nederland verstoord worden? Wordt het internet platgelegd? Dan kan niemand pinnen, dus ook geen boodschappen betalen?"

De hacker, die heeft bekend, staat in mei voor de rechter en de KPN-zaak is momenteel nog in behandeling. Zijn rechtszaak vindt achter gesloten deuren plaats, omdat hij minderjarig was ten tijde van het misdrijf. Uit de reconstructie blijkt dat de hacker vijf weken lang is verhoord. De hacker kon worden opgepakt dankzij een combinatie van slordigheid en trots: hij schepte in een chatgesprek met een Zuid-Koreaanse student op over zijn hacks. Die student tipte KPN via Twitter, waarna de politie werd ingeschakeld. De nickname die de Barendrechter gebruikte in het gesprek met de student, hanteerde hij later opnieuw. Dankzij een internettap merkte de politie dat, waarna de politie op 20 maart 2012 een inval deed en de hacker arresteerde.

Uit de reconstructie in 24/7 blijkt dat de Barendrechter binnenkwam in servers van KPN doordat automatische updates faalden. Eerder bleek al dat onveilige software de servers van KPN de das om deed. De hacker wist zichzelf ook toegang te verschaffen tot andere computersystemen, onder meer van universiteiten, waaronder de Zuid-Koreaanse universiteit waar de tipgever studeerde. Welke organisaties de hacker naast de universiteiten en KPN kraakte, is onduidelijk.

Lees meer over

Reacties (103)

1 2 3 ... 6
Bied die knul een baan aan, zou ik zeggen...
"Hij heeft wel malware ge´nstalleerd op de servers, en een AustraliŰr de logingegevens van de KPN-servers overhandigd", benadrukt Takkenberg tegenover Tweakers, om aan te geven dat zijn bedoelingen zeker niet loepzuiver waren.
Niks kwajongens streek, het eerste is echt al strafbaar wegens computerhuisvredebreuk en het tweede kan duiden op het verkopen van de gegevens. Die 17 jarige 'jongen' is een volhardde crimineel volgens mij. Ben benieuwd of er nu meer gevallen bekend worden waarin hij een criminele rol heeft gespeeld.

Slechte zaak voor white hat hackers. Dit soort lieden zetten etische hackers telkens toch weer in een kwaad daglicht.
Als hij het niet gedaan had, had iemand anders met misschien veel kwadere bedoelingen gedaan. Lekker door laten hacken die jongen, maar maak hem wel duidelijk dat hij het anders moet aanpakken.

Taakstraf: Laat hem een plan opstellen hoe hij het de volgende keer moet aanpakken en melden, en hoe KPN zijn beveiliging kan verbeteren!
Een bank overvaller die niemand kwaad doet bied je toch ook geen baan aan als beveiliger.
Hij zat fout klaar.
'Dat is eerder een scriptie (om wellicht aan een baan te komen) dan een daadwerkelijk taakstraf.
Hacken is sowieso strafbaar, ik ga ook niet bij de buren inbreken voor de lol om te laten zien dat hun sloten niet deugen. Ik denk dat die met name verrast is door het gemak waarmee je blijkbaar kan hacken bij het grootste landelijk netwerk. Vraag me ook af in hoeverre je KPN aansprakelijk kan stellen voor deze stomheid en het zegt wel wat over de kwaliteit van de bezetting.

Overigens bestaat er ook nog een tweede (fysiek) telefoonnetwerk wat voor calamiteiten gebruikt wordt en helemaal buiten het bestaande netwerk wordt gehouden. Dus in geval echt de pleuris uitbreekt kan er nog altijd gecommuniceerd worden tussen de mensen die de leiding hebben in calamiteiten.
De actie valt niet goed te praten... maar KPN moet zich de ogen uit haar kop schamen dat het onderhoud aan haar systemen waardeloos is en de kwetsbaar geworden 'oude' zooi niet werd voorzien van updates! Al lang hadden alle alarmbellen moeten rinkelen toen zou blijken dat de zooi faalde om updates toe te passen! En helemaal omdat eerder al duidelijk was dat KPN haar zaken niet op orde had en verouderde software haar de 'das om deed'! Dat getuigd ook niet van waarde hechten aan veilige en goede producten en diensten leveren!
Inbreken / hacken is strafbaar en de dader komt voor het gerecht.

De verplichting om informatie te beschermen, wordt helaas niet getoetst via het gerecht. Dit lijkt me een logisch gevolg. Inherent aan de gevoeligheid van de informatie zal hierop een straf moeten komen, bij niet voldoende bescherming.

In deze casus zal KPN dus een flinke boete moeten krijgen en moeten aantonen dat de beveiliging in de toekomst beter op orde is. KPN schaadt de privacy van vele gebruikers, en "speelt" zelfs met ons nationale alarmnummer.

Het mag duidelijk zijn dat van een burger in veel gevallen verplicht gegevens worden opgeslagen op computers. Hier is geen vrije keus. In het nu is de databeheerder "vogel vrij", en wordt het strafrechtelijke gericht op degene die hackt of het lek aangeeft.

[Reactie gewijzigd door kritischelezer op 23 februari 2013 12:18]

Het verschil is wel dat er bij het aanvallen van het KPN netwerk specialisme nodig is en enig verstand van beveiliging. Aangezien zo'n manneke van 17 bij KPN binnen kan komen, lijkt het me slim om nog eens naar die IT afdeling daar te kijken en die jongen inderdaad een baan aan te bieden, wel onder toezicht natuurlijk. Hij heeft waarschijnlijk meer kennis van de beveiliging dan die afdeling daar.
Daarbij kan iedereen een bank overvallen, gewoon een geweer aanschaffen en binnen lopen bij de bank.
Ooit van vededigings strategie gehoord. Als het O.M er in trapt komt ie er met een lage straf vanaf. Het feit dat hij er over op schepte tegen een andere partij in deze, neigt naar intentie met opzet I.M.O. Dus geen kwajongens streek.

[Reactie gewijzigd door tuinboontje op 23 februari 2013 12:21]

Hij mag dan wel fout zijn met zijn hacken, maar wees blij dat hij het heeft gedaan. Als hij zich er meer in verdiept had en het een jaar later had gedaan, hadden ze hem misschien niet te pakken gekregen.

Ik ben altijd blij als mensen dit doen; het benadrukt de noodzaak van goede beveiliging. In het bedrijfsleven wordt het nog veel te veel gezien als 'gezeik dat geld kost' helaas.

Wat mij betreft bestraffen ze KPN en geven ze de hacker een serieuze waarschuwing.

Jij bent ook niet verzekerd als je deur open laat staan van je huis.
Je hebt zeker een punt, het enige probleem is dat het toetsen van 'verplichting om informatie te bschermen' nogal erg breed is, en dat er bijzonder specialistische kennis vereist is om dit goed te kunnen toetsen.

Wel zou het bepaalde bedrijven nog eens een paar keer extra doen nadenken over hun (non-)beveiliging.
Een baan aanbieden...tja. Als het bij de hack was gebleven en er geen doorverkoop van gegevens was geweest was dat wellicht een optie geweest. Het is echter net even te ver gegaan om een baan aan te bieden. Eerst een straf lijkt mij, dan zien we later wel verder.
Je bedoelt dat iemand die gewapend een x aantal mensen bedreigd met de dood, per definitie hetzelfde is als een 17 jarig mannetje achter een computer (ergens op een donker zoldertje) ?

Ik denk dat het niet zo simpel ligt. Wellicht dat die twee iets meer van elkaar verschillen dan jij doet voorkomen?

Of bied jij iemand die een bekeuring krijgt, omdat hij 83 km/h reed waar hij 80km/h mocht, ook geen baan aan als vrachtwagenchauffeur?
Sterker nog: als hij het met zijn 17 jaar als hobbyist al gedaan heeft hebben professionals (inlichtingendiensten) uit andere landen dit zeker weten gedaan en doen ze het nog steeds maar dan met duidelijkere doeleinden. Het wordt tijd dat hier in NL de ogen eens open gaan voor de enorme economische en politieke schade die we oplopen door dit soort laksheid.
Als hij het niet gedaan had, had iemand anders met misschien veel kwadere bedoelingen gedaan.
Het is geen exclusief gebeuren, het gebeurt waarschijnlijk OOK door mensen met nog kwadere bedoelingen. Hacken is computervrede breuk, dat is verboden, wat hem dus geleerd moet worden is het zelfde wat elke andere crimineel geleerd moet worden: nooit meer doen!
Zullen we dan eerst de mensen verantwoordelijk voor de beveiliging en updates eruit schoppen? KPN is de laatste tijd toch al lekker bezig dus waarom op deze afdeling ook niet. Het zou mij ook niets verbazen dat het beheer middels een goedkoop contractje is uitbesteed zoals veel bij KPN....
Deze hack was anders ook niet zo moeilijk, hij heeft waarschijnlijk gewoon standaard exploits gebruikt en het internet afgespeurd naar ongepatchte systemen. Ik deed niet anders toen ik 17 was (16 jaar geleden) alleen toen was er nog geen high tech crime unit en werd je niet gepakt ook al deed er iemand aangifte.

Dus een baan aanbieden vind ik overdreven. Iedereen kan een tooltje downloaden waarmee je kunt scannen op bepaalde dingen en vervolgens pas je wat exploits toe die je zo van internet plukt, bijv. metasploit is een heel populair pakketje.
Er is kennis en ervaring voor nodig, dat is correct. Maar iemand die tegen de wet handelt en er geen probleem mee lijkt te hebben ga je geen job geven waar vertrouwen in het personeel net zeer belangrijk is. Das een beetje als de kat bij de mel zetten.

Bijkomend is hij in staat om gaten in de beveiliging te vinden, daarom nog niet om deze gaten te dichten. Als je deze jongeman al een baan aanbied, dan eerder bij een beveiligingsfirma dat net teams in huis heeft dan heel de dag niets anders doet dan penetratietesten uit te voeren.

En ja, iedereen kan een geweer kopen en een bank overvallen, net zoals er honderden scriptkiddies zijn die gewoon scriptjes downloaden en beginnen met systemen aanvallen. De grote roven zijn ook specialistenwerk. Maar iedereen begint klein.
Batiatus, als ik het goed begrijp wil jij iemand die een strafbaar feit heeft gepleegd gaan belonen ervoor?

Ik ben het met je eens dat je die kunde van die knul moet gebruiken. Maar laat hem maar in de gevangenis tot in detail uitschrijven hoe hij het heeft aangepakt. Op deze manier straf je hem en krijg je, gratis, zijn kennis in huis. Dit zal dan onder de noemer 'dienstverlening aan de gemeenschap' kunnen vallen zodat hij een deel van zijn straf er mee kan compenseren. Weigert die knul dat dan moet hij maar een paar jaar extra brommen.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Sony Apple Games Besturingssystemen Politiek en recht Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013