Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Rus achter Citadel-malware krijgt celstraf van vijf jaar in VS

Door , 31 reacties

Een Russische man die volgens de aanklacht bij de ontwikkeling van de Citadel-malware was betrokken, heeft in de VS een celstraf van vijf jaar gekregen. Hij bekende vier maanden geleden schuld. In 2015 werd ook al een Rus veroordeeld voor verspreiding van de malware.

De straf houdt rekening met de twee jaar die de man, ook bekend onder de naam Kolypto, al in Noorwegen heeft vastgezeten, aldus persbureau Reuters. In december vond uitlevering aan de VS plaats. Volgens de aanklacht heeft Kolypto tussen 2012 en 2014 bijgedragen aan de ontwikkeling en verbetering van de Citadel-malware. In die tijd woonde hij in Oekraïne en Noorwegen. De kwaadaardige software zou 11 miljoen apparaten hebben geïnfecteerd en 500 miljoen dollar aan schade hebben aangericht.

Citadel dook op in 2012, nadat de broncode van de Zeus-malware online was verschenen. Het doel van de kwaadaardige opensourcesoftware was om bankgegevens te stelen. Later werd de malware aangepast om bijvoorbeeld wachtwoorden uit wachtwoordmanagersoftware te stelen. In 2013 bleek dat in Nederland 150.000 systemen van overheden en bedrijven met Citadel waren besmet, waardoor ongeveer 750GB aan gegevens was buitgemaakt. Een beveiligingsbedrijf zou de gegevens aan de politie hebben gegeven, die vervolgens weinig maatregelen nam.

Een andere Russische man werd al in 2015 in de VS veroordeeld tot een celstraf van 4,5 jaar voor betrokkenheid bij de verspreiding van de malware.

Reacties (31)

Wijzig sortering
Dus het schrijven van zulke software is verboden? Als je malware bezit, ben je dan in bezit van "een wapen"? Het lijkt mij dat zolang je iets schrijft en er niks mee doet, dit toch niet strafbaar is?

Hier wordt gezegd dat hij alleen betrokken was bij het maken ervan, maar dit zal wel niet zo zijn.

[Reactie gewijzigd door NotCYF op 20 juli 2017 10:39]

Weet niet of het hebben van malware strafbaar is, zou een hoop mensen gedoe opleveren :+
Of het bezitten van de broncode van malware strafbaar is ook geen idee, maar het maakt je wel verdacht tenzij je een goede verklaring hebt (Werkzaam bij een AV bedrijf oid).
Verder zal het maken van dit soort malware iets als georganiseerde misdaad zijn en daaronder ook wel strafbaar te stellen zijn.
Als je betaald wordt om software te ontwikkelen die ontworpen is om gegevens of zelfs geld buit te maken, dan kan je dat vergelijken met illegaal een bom voor iemand maken terwijl je weet dat die persoon een vol restaurant gaat opblazen ermee. Dat is gewoon medeplichtigheid.

Malware maken of in je bezit hebben zonder er iets mee te doen is in Nederland niet strafbaar. In Duitsland bijvoorbeeld geloof ik wel; daar is t al discutabel of je als pentester Kali mag hebben.

[Reactie gewijzigd door WhatsappHack op 20 juli 2017 10:48]

Schrijven is niet verboden, net zoals hacken in de basis niet verboden is. Zelfs het bezit is niet verboden. Maar er gebruik van maken om systemen aan te vallen zonder toestemming of deze software verkopen aan mensen waarvan je weet dat de kans klein is dat ze deze voor legale doeleinden gebruiken is dan weer wel strafbaar. Deze man heeft uiteindelijk software geschreven die aan de basis ligt van internetaanvallen.
Wapenbezit is ook verboden, dus in dat opzicht. En als het vaststaat dat er kwaadaardige bedoelingen mee zijn, waarom niet?
Of het bezit van een wapen legaal of illegaal is ligt dan ook puur aan de context. Bezit voor defensieve doeleinden bijvoorbeeld is legaal in sommige landen. De kans dat malware zal worden ingezet voor defensieve doeleinden is hťťl klein.

[Reactie gewijzigd door PostHEX op 20 juli 2017 12:44]

Het bezit van malware is een lastig punt. Volgens de Budapest convention, waarop de wetten van Europese landen zijn voortgeborduurd, is het bezit strafbaar wanneer jij de `intentie` hebt om schaden aan te richten. Het woord intentie maakt het lastig, want hoe ga jij aantonen dat iemand intentie heeft om malware te gebruiken. Dit lijkt heel makkelijk, maar als iemand malware koopt om het te gebruiken. Na het testen bedenkt om het te verwijderen, kan hij nog steeds schuldig bevonden worden. Hij had tenslotte een intentie om het te gebruiken.

Het schrijven van malware is al sneller strafbaar, dit doe jij namelijk met een intentie.

Hoewel er regels zijn opgesteld voor cybercriminaliteit is het vaak lastig. De regels kun je op verschillend manieren interpreteren en per land zijn ze ook weer verschillend.

http://www.europarl.europ...t_/7_conv_budapest_en.pdf

[Reactie gewijzigd door dakaza op 20 juli 2017 13:10]

Een tijdje geleden zijn er heel wat gebruikers van 'n spy-/hacktool gearresteerd, dus ik vermoed van wel.
Waarschijnlijk is hij veroordeeld op een punt mbt verkoop/weggeven van de software waarbij hij had kunnen weten / had moeten weten dat de software voor illegale doeleinden zou worden gebruikt. Het feit dat de software zelf dit al faciliteert en eigenlijk het primaire doel ervan is zal hem waarschijnlijk ook niet geholpen hebben.
" De kwaadaardige software zou 11 miljoen apparaten hebben geÔnfecteerd en 500 miljoen dollar aan schade hebben aangericht."
Met 11 miljoen besmette apparaten is ze kans aanwezig dat er in diverse landen wat besmettingen waren.
Kan deze persoon dan de rest van zijn leven uitgeleverd worden om overal even te zitten?
Als elk land dat wilt doen, ja. Maar reken er niet op dat hij dan ook word uitgeleverd, hij zal dan zelf daar naartoe moeten gaan.

[Reactie gewijzigd door Iva Wonderbush op 20 juli 2017 10:48]

Juist, ik denk dat de VS als die man al 5 jaar gezeten heeft niet zomaar nog een uitleververzoek accepteert. Er zijn natuurlijk nog wel menselijke rechten :P. Die krijgt gewoon een kaartje terug naar Rusland. Je kan iemand niet telkens opnieuw vast laten zitten voor hetzelfde feit, ongeacht het land.

[Reactie gewijzigd door NotCYF op 22 juli 2017 12:42]

Neem aan dat ze ook de geldstromen nageplozen hebben? Niet dat meneer na zijn straf uitgezeten te hebben nog lekker riant kan leven van een begraven kist vol met goudstukken ofzo :+
Alles naar bitcoins overschrijven & je multibit wallet words onthouden?

[Reactie gewijzigd door Gamebuster op 20 juli 2017 10:22]

Als een ITer zijn eed verbreekt (geen gevoelige data doorlekken)
Eed? Ik heb wel contractuele bepalingen gezien over de omgang met gevoelige gegevens maar nog nooit meegemaakt dat ik als ITer een eed moest afleggen.
Inderdaad, dat is ook onzin.
een soort eed. idd het is een contract dat je moet teken, tegenwoordig op ICT opleiding krijg moet je hiervoor al tekenen en wordt je erbewust van gemaakt. ze noemen het ook wel een eed.
Dat is gewoon een contract, en je moet je daarnaast allereerst aan de wet houden. Want data lekken mag volgens de wet niet.

Als je iets vast laat leggen in een contract is het makkelijker om van iemand af te komen. Want dan zeg je contractbreuk. Maar ga er maar van uit dat de politie ook wordt ingeschakeld.

Dat heeft verder weinig met eed te maken.

https://nl.wikipedia.org/wiki/Eed
5 jaar een amerikaanse gevangenis of 5 jaar een Nederlandse gevangenis is wel degelijk een verschil!
Alleen heeft dit compleet niets met Nederland te maken omdat hij 5 jaar cel krijgt in Amerika... Daarnaast heeft hij al 2 jaar gezeten in Noorwegen.
Dus in totaal zit hij hij dadelijk 7 jaar vast wat nog steeds niet overdreven lang is maar het blijft "enkel" een financieel delict. Als je dan toch de vergelijking wil trekken als je iemand in Nederland dood rijdt sta je rustig binnen 5 jaar weer buiten je celdeur...
Opzet of geen opzet maakt toch een behoorlijk verschil. Als jij opzettelijk iemand doodrijd kom je hier echt niet weg met 5 jaar.
Doodslag (ervanuitgaande dat het geen moord is) zonder verlichtende of verzwarende omstandigheden is meestal ongeveer 8 jaar cel. Bij goed gedrag kom je dan na 5.6 jaar (na twee derde van straf) vrij. Indirect kun je dus soms bijna buiten staan na 5 jaar.
Moord is op voorbedachte rade. Als je dus van te voren bedenkt ik ga die man doodrijden dan is het gewoon moord :P

Doodslag is bijvoorbeeld als je in een gevecht terecht komt en iemand door te hard slaan letterlijk doodslaat. Moord is als je een gevecht start om diegene dood te slaan(Je hebt van de voren tijdens "kalmte" bedacht: he ik ga diegene doden)..

Als je dus iemand "opzettelijk doodrijd" is dit meestal gewoon moord, behalve als er sprake is van road rage(dan kan dit wel als doodslag gezien worden). Onopzettelijk(dodelijk ongeluk veroorzaakt) is het dood door schuld.

[Reactie gewijzigd door NotCYF op 23 juli 2017 01:19]

Nou er zijn zat mensen voor moord die na 3-5 jaar terug op straat staan. en soms eerder door "Goed gedrag"
Er zijn zat mensen die misdaden begaan en helemaal niet eens worden opgespoord of opgepakt.

Vrijwel iedereen [maar niet iedereen] die in detentie zit krijgt in Nederland gratie ("goed gedrag"). Dat houdt in dat 1/3 deel van de straf wordt kwijtgescholden. Krijgt iemand dus bijvoorbeeld 9 jaar cel, dan wordt dat praktisch gezien 6. Toch schrikt dat laatste meer af, en het betekent verder ook niet dat de straf lager was. Verder zijn er diverse studies die aantonen dat strenger straffen niet helpt. Was het maar zo simpel.

Bovendien houdt moord in dat er sprake is van opzet en voorbedachte raden. In Nederland staat daar max levenslang voor. En dat is in Nederland ook daadwerkelijk levenslang.

Waarschijnlijk haal jij e.e.a. door elkaar. Bijvoorbeeld je neemt dood door schuld ook mee. Of je vergeet een maatregel als TBS.

Zie ook http://www.wetrecht.nl/moord/
Zijn de makers van Stuxnet en al die CIA malware al voor dfe rechter gebracht?
Lever jij het bewijs even dan regel ik de rechter wel.
Het ontwikkelen van malware is juist goed, want dit stelt ontwikkelaars van besturingssystemen, antivirusprogramma's en andere programma's in staat om de beveiligingslek in hun programmatuur te vinden en deze te dichten. Zonder malware zou alle programmatuur vol met gaten zitten. Stel je maar eens voor hoe kwetsbaar jij bent als er nog nooit in de geschiedenis van de mensheid een kwaadaardig programma geschreven zou zijn. Dankzij malware worden deze gaten gedicht. Het klinkt misschien raar, maar malware maakt het web juist veiliger. ;)
Met deze redenatie vraag ik me af of inbraken en (roof)overvallen de maatschappij ook veiliger maken?!?
Een beveiligingsbedrijf zou de gegevens aan de politie hebben gegeven, die vervolgens weinig maatregelen nam.
Naja, we weten in ieder geval wel waar het wel geŽindigd is.

Toch wel jammer dat de waarde van onze gegevens niet aan zulk grote maten gewerkt wordt als hun andere taken. Had wel een pluspuntje voor de politie kunnen zijn om wat vertrouwen en publiciteit te winnen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*