Politie Noord-Holland benadert gebruikers van remoteaccesstrojan RevCode

De politie Noord-Holland heeft gebruikers van een remoteaccesstrojan opgespoord en aangeschreven. De digitale recherche roept gebruikers van RevCode Webmonitor op informatie te melden bij de politie, maar gebruikers worden niet vervolgd.

Dat bevestigt de Eenheid Noord-Holland van de Nederlandse politie aan Tweakers, nadat een tweaker daarover tipte. Gebruikers van RevCode Webmonitor hebben per e-mail een bericht gekregen van de politie. "Uit onderzoek is gebleken dat jouw e-mailadres gelinkt is aan ... de aanschaf van de rat RevCode Webmonitor", staat in de brief te lezen. In de brief waarschuwt de Nederlandse politie dat 'het kopen en bezitten van dergelijke malware tot strafbare vervolging kan leiden'. De politie verzoekt de gebruikers verder om de tool te verwijderen, samen met 'elk materiaal dat hiermee verkregen is', maar voorlopig lijken er geen consequenties aan het gebruik te zitten. In de mail staat verder een e-mailadres van de cybercrimerecherche van Noord-Holland, waar gebruikers van de tool contact mee kunnen opnemen als ze meer informatie willen hebben of als ze informatie hebben over 'personen gerelateerd aan RevCode'. De politie vraagt gebruikers vooralsnog niet zichzelf te melden.

RevCode Webmonitor is een remoteaccesstool of rat, waarmee gebruikers op afstand een computersysteem kunnen bekijken. De makers van RevCode werden in 2021 bij een internationale politieactie opgepakt en de tool werd toen offline gehaald. Zij hebben altijd volgehouden dat de software legitiem was, omdat die ook voor legitieme doelen kon worden ingezet.

RAT Revcode webmonitor

De politie bevestigt aan Tweakers dat het inderdaad gebruikers benadert. "Het klopt dat het cybercrimeteam van de politie-eenheid Noord-Holland kopers van de Revcode Webmonitor-rat heeft aangeschreven", zegt een woordvoerder. "Er zijn tientallen kopers aangeschreven. Dit is onderdeel van een brede aanpak op de aankoop en gebruik van remoteaccesstrojans. Daarin wordt gekeken naar het stoppen, verstoren en mogelijk vervolgen van het gebruik van deze cybercriminele tooling."

De politie zegt verder dat het 'deel uitmaakt van een internationaal netwerk in de aanpak van remoteaccesstrojans.' "Daaruit is informatie gekomen over de aankoop en het gebruik van Revcode Webmonitor-rat in Nederland. Het cybercrimeteam heeft hier onderzoek naar verricht en zal in de toekomst nog meer acties uitvoeren."

Correctie: in de lead stond aanvankelijk dat de politie gebruikers vroeg zich te melden, maar de politie vraagt alleen om informatie over de tool.

Door Tijs Hofmans

Nieuwscoördinator

16-02-2024 • 12:38

100

Reacties (100)

Sorteer op:

Weergave:

RDP is ook een rat.
Wat is precies het probleem?
Ik denk dat de instalatiewijze het grote vertschil maakt. RDP installeer je, deze kun je ongevraagd via malware binnenkrijgen. Want het is in feite verder inderdaad een remote desktoptool
Er zijn veel meer verschillen. Zo is voor RevCode Webmonitor geen port forewarding nodig nadat je hem op het systeem van een slachtoffer hebt geinstaleerd, doet het programma erg goed zijn best om onopgemerkt te blijven, merkt een slachtoffer meestal niets wanneer iemand meekijkt of iets anders doet op het systeem van het slachtoffer en wordt deze software ook als malware meegebundeld met downloads om zo systemen te infecteren. Het stellen dat RevCode Webmonitor een simpele remote desktop tool is is veel te kort door de bocht. '

De leverancier ging er overigen ook prat op dat de tool compatible is met de meeste crypters. Voor degene die niet weet wat een crypter is:
A crypter is a type of software that can encrypt, obfuscate, and manipulate malware, to make it harder to detect by security programs. It is used by cybercriminals to create malware that can bypass security programs by presenting itself as a harmless program until it gets installed.
Kortom, ook hier is de intentie denk ik wel duidelijk.

[Reactie gewijzigd door Bor op 23 juli 2024 00:53]

Had daar pas iets over geschreven. Mens Rea heet dat in vaktermen, vrij vertaald betekent het "schuldig geweten" in modern Nederlands kan je het samenvatten als intensie..

TechSupreme in 'Canada wil Flipper Zero verbieden, tool zou gebruikt worden voor autodiefstal'

[Reactie gewijzigd door TechSupreme op 23 juli 2024 00:53]

hm dan loop ik achter qua modern Nederlands. Volgens mij was het woord nog intentie.
The software is broadly classified as malware by most antivirus companies, likely thanks to an advertised feature list that includes dumping the remote computer’s temporary memory; retrieving passwords from dozens of email programs; snarfing the target’s Wi-Fi credentials; and viewing the target’s Webcam.
For example, RevCode’s website touted the software’s compatibility with all “crypters,” software that can encrypt, obfuscate and manipulate malware to make it harder to detect by antivirus programs. Palo Alto also noted WebMonitor includes the option to suppress any notification boxes that may pop up when the RAT is being installed on a computer.
https://krebsonsecurity.c...e-revcode-webmonitor-rat/

Ik denk dat dit de voornaamste reden is dat het minder fris is dan RDP.

[Reactie gewijzigd door CaDje op 23 juli 2024 00:53]

Deze werd specifiek geadverteerd als dat die compatibel is met alle "crypters", software om detectie van installatie te omzeilen. Doe je niet zomaar op een computer van een klant ofzo, om helpdesk support te geven.

Naja, nog meer van dat soort ongein rondom deze software is hier te lezen: https://krebsonsecurity.c...e-revcode-webmonitor-rat/
RDP is een legitieme RAT die door Microsoft zelf wordt aangeboden.

RevCode is blijkbaar primair in gebruik bij users om er minder frisse dingen mee te doen. Dit is ook best veelzeggend:
De makers van RevCode werden in 2021 bij een internationale politieactie opgepakt en de tool werd toen offline gehaald.
Dat oppakken doen ze niet zomaar zonder goede reden natuurlijk. Dat de makers beweren dat het ook voor legitieme doelen gebruikt kan worden is leuk, maar dat man ken ook roepen van alle andere vormen van malware. Als 99 procent het voor minder goede bedoelingen wordt gebruikt, wel, daarom destijds die politie-actie.

[Reactie gewijzigd door wildhagen op 23 juli 2024 00:53]

Waar ik eigenlijk benieuwd naar ben is wat voor constructie dit betreft.
Is het een 'rat' wat verbinding kan maken met een machine geïnfecteerd met malware of gebruikt het een hack om binnen te dringen zonder authenticatie?
Er wordt min of meer erg global gepraat over een rat alsof het een trojan is maar feitelijk zegt dit helemaal niks.

Voor het zelfde geldt kan iemand het client software pakket injecteren met malware om dan vervolgens met het server zijde toegang te krijgen. Heeft het dan nog iets te maken met het officiële software van RevCode.
Het primaire gebruik toont de politie echter niet aan. Het bericht is vooral suggestief en eenzijdig: er blijkt geen enkele besef voor legaal gebruik uit. Op zijn minst had dus een duidelijke afweging genoemd horen te worden, juist omdat de politie in het uitvoeren van haar taken objectiviteit hoort te tonen ook legale vrijheden te beschermen. Zeker als ze verzoeken met het gebruik verkregen materiaal te verwijderen.
Daarbij is het verzoek om contact op te nemen ook niet onderbouwd. Ook daar hoort grond duidelijk voor te zijn. Bijvoorbeeld als getuige of slachtoffer. Maar zoals het brengen beschouwen ze het gebruik als mogelijk illegaal of gevaarlijk, dus niet eenduidig dat het contact ze om slachtofferschap of getuigen zijn gaat. Terwijl als ze de personen als verdachte beschouwen ze niet zomaar even een verzoek tot contact kunnen doen.

[Reactie gewijzigd door kodak op 23 juli 2024 00:53]

Bor Coördinator Frontpage Admins / FP Powermod @kodak16 februari 2024 14:08
Het primaire gebruik toont de politie echter niet aan. Het bericht is vooral suggestief en eenzijdig: er blijkt geen enkele besef voor legaal gebruik uit.
Je kent de software in kwestie niet neem ik aan? RevCode Webmonitor is gericht op mensen die het o.a. "onzichtbaar" willen laten zijn middels crypters (een van de unieke geadverteerde features) om zo beveiligingsmaatregelen op de tuin te leiden. De tool is bekend van aanvallen waarbij het o.a. met Zoom installers werd gebundeld en het was af te nemen via een C2 (Command & Control) as a service constructie.
Dat ik kritiek heb op de onduidelijkheid staat los van het kennen. Het punt is niet dat jij of ik of de politie het ondermeer als malware kunnen zien,maar dat de politie duidelijkheid hoort te geven waarop ze objectiviteit tonen dat er niet slechts illegaal gebruik is.
"dat je telefoonnummer in een burnerphone van een drugdealer staat wilt ook niet zeggen dat je van hem drugs koopt, het kan ook gewoon een leuke jongen zijn die je vraagt voor een romantisch avondje uit"

ja zo'n redenering houdt natuurlijk altijd steek :|
Bor Coördinator Frontpage Admins / FP Powermod @kodak16 februari 2024 14:53
Lees de brief nog eens goed. Nergens staat dat er slechts illegaal gebruik is. Er staat wel dat kopen en bezit tot strafbare vervolging kan leiden. Daarbij zal er natuurlijk worden gekeken naar wat er met de software is gedaan. Dat lijkt mij evident.

Daarbij, wie zegt niet dat de politie niet al lang meer informatie heeft rond waar, wanneer, waarvoor en door wie de tool is ingezet? De informatie hoeven ze natuurlijk niet direct op tafel te leggen wanneer ze een brief sturen met een boodschap als "we hebben je in de gaten" aangevuld met een verzoek. Er gaat een duidelijke waarschuwende functie van deze brief uit.

[Reactie gewijzigd door Bor op 23 juli 2024 00:53]

Ehm, RDP (beter gezegd: de RDP-client) is wel degelijk een RAT (Remote Administration Tool). De term RAT heeft meerdere betekenissen.

Een RAT hoeft niet per se malware te zijn natuurlijk, het merendeel zal volkomen legitiem zijn.

Dus in dit geval is het een RAT in de legitieme zin (non-Trojan). Een RAT in negatieve zin (zoals Trojan, of deze RevCode) is RDP idd dus niet.

[Reactie gewijzigd door wildhagen op 23 juli 2024 00:53]

Bor Coördinator Frontpage Admins / FP Powermod @wildhagen16 februari 2024 14:04
Binnen cybersecurity geldt een RAT doorgaans als een Remote Access Trojan.

Remote access trojans (RATs) are malware designed to allow an attacker to remotely control an infected computer. Once the RAT is running on a compromised system, the attacker can send commands to it and receive data back in response.
Binnen cybersecurity geldt een RAT doorgaans als een Remote Access Trojan.
Ik zit beroepshalve zelf (deels) in de cybersecurity, en ook daar heeft RAT (mede) de betekenis van een Remote Administration Tool:
A Remote Administration Tool (RAT) is a type of software that allows a user to control a computer system from a remote location. This can be an incredibly useful tool for IT professionals who need to solve technical issues on remote servers or for individuals who want to access their home computers while they are away.

However, in the wrong hands, a RAT can become a formidable weapon. Cybercriminals use RATs to gain access to and control over unsuspecting users’ computers. This can lead to theft of personal information, disruption of user activities, and even large-scale cyber-attacks. It’s important to understand the potential threats posed by RATs, as well as how to protect yourself and your computer from being exploited through these tools.
Zie https://www.mcafee.com/learn/what-is-rat/

Of:
Recently, there has been a rise in incidences of hackers using “Remote Administration Tools” to control the infected system and bypass protection technologies.

Remote administration tools are software that allows managing and controlling terminals from a remote location.

The tools can be used for work-from-home purposes as well as remote control, management, and maintenance of unmanned devices. “Remote Administration Tools,” or RATs, are legitimately utilized remote control tools.
Zie https://gbhackers.com/hac...ote-administration-tools/

McAfee is uiteraard een bekende naam in de security-wereld.

De meerdere definities van RAT worden in de dagelijkse praktijk door elkaar heen gebruikt.
De meerdere definities van RAT worden in de dagelijkse praktijk door elkaar heen gebruikt.
Dit is inderdaad verwarrend.

Zeker omdat de meeste EDR/XDR tools tegenwoordig ook volledige remote administration ingebouwd hebben. Je kan met onze tool gewoon op elke laptop inloggen als administrator/root en doen wat je wil 8)7 Als een aanvaller daar ooit in komt, oei 🫣

Uiteraard wordt het allemaal heel goed bewaakt en gelogd en het is ook wel logisch want zo'n tool heeft sowieso extreme rechten nodig op elke endpoint. Nog meer dan je endpoint management systemen.

Overigens vind ik McAfee niet bepaald meer een leidende naam in cybersecurity. Ze lopen extreem achter. Ze hadden een leidende positie maar ze hebben zoveel boten gemist. Tegenwoordig is het mee crowdstrike, sentinelone, enz die de klok slaan met gedragsanalyse, AI/ML, EDR/XDR enz. McAfee heeft dat ook wel maar ze zijn er erg laat op ingesprongen waardoor ze niet meer aan de top staan.

[Reactie gewijzigd door Llopigat op 23 juli 2024 00:53]

Hoewel die betekenis er zeker kan zijn heeft het niet duidelijk vooral die betekenis. Dat hangt sterk van de uitleg en context af. Juist omdat een lezer de afkorting anders meervoudig kan interpreteren. Terwijl het publiek niet zomaar slechts bestaat uit lezers die vooral og alleen bezig zijn met cybersecurity. En dat is precies wat hier niet zomaar het geval is om de software te gebruiken of het bericht te ontvangen.
Hmm. Ik ken RAT als "Remote Access Trojan" en ben daar niet alleen in.
Maar fair enough, nu je Remote Administration Tool benoemd, komt die ook bekend voor.

https://nl.wikipedia.org/wiki/RAT-virus
https://www.politie.nl/in...oegang-tot-computers.html
er zijn verschillende definities voor RAT:
- Remote Access Trojan (politie.nl)
- Remote Access Tool (digitialtrustcenter.nl)
- Remote Administration Tool (onder andere veiliginternetten.nl)

Ik heb het ook altijd als Trojan gezien. Vandaar dat mijn eerste reactie ook was dat RDP geen RAT is. :)
Leuk als iedereen z'n eigen definitie van RAT gebruikt en dan vervolgens gaat zeggen dat het wel of niet een RAT is. Dan kunnen we beter deze afkorting afschaffen want er zijn nu al vele malen meer tekens ingeklopt dan er bespaard zijn met de afkorting :o
inderdaad, er zijn te veel DLA.

Drie Letter Afkortingen :+
Je kan misschien het Verbond Tegen DLA's oprichten.
RevCode Webmonitor is een remoteaccesstool of rat,
Staat zo in het nieuws bericht en ook wat door de politie is opgegeven.
Ik reageerde op RDP, wat meegeleverd wordt met Windows :)
RevCode Webmonitor is een remoteaccesstool of rat,
Staat zo in het nieuws bericht en ook wat de politie heeft aangegeven.
Het artikel gebruikt 1x 'remoteaccesstool' en 4x 'remoteaccesstrojan' :)

Ook de politie gebruikt Trojan: https://www.politie.nl/onderwerpen/remote-access-trojan.html
Dat is een zeer terechte vraag. Het lijkt namelijk nogal vaag waarom de politie verzoekt tot verwijderen. Het probleem dat de software veel in gebruik kan zijn voor illegale bedoelingen zorgt er niet zomaar voor dat aanschaf en bezit dus maar ongewenst, laat staan illegaal, is.
Er zal dus waarschijnlijk meer aan de hand zijn. Wat kan blijken uit het kennelijke verzoek om ook gerelateerd materiaal te verwijderen en de oproep contact op te nemen. Het kan bijvoorbeeld zijn dat het malware is voor de gebruikers, ongeacht de bedoeling van de kopers.
Je moet ook tussen de regels door lezen.

"Verzoeken" en "kan leiden tot" is waar het hier om gaat. Iedereen kan een andere verzoeken om iets te doen, ik kan jou ook verzoeken of jij je computer wil formateren, of jij dat gaat doen is weer een andere vraag. De politie komt misschien iets imponerend over, maar het is in de kern niks meer als een verzoek.

Zo ook de term "kan leiden tot", alles kan leiden tot alles. Zolang er geen wetsartikel is of er geen jurisprudentie bestaat is het niks anders als speculatie.

Zolang er niet wordt gevorderd of sommeert heeft het ook geen wettelijk gewicht. Vorderen en sommeren mag alleen volgens wettelijk gezag dus dan komen we er weer op terug. Zolang er geen wetsartikel of jurisprudentie bestaat....

[Reactie gewijzigd door TechSupreme op 23 juli 2024 00:53]

De politie kan niet zomaar verzoeken doen. Men heeft namelijk specifieke taken waar een verzoek duidelijk bij moet passen. En als men de intentie heeft, of op zijn minst mag verwachten dat het voor een bepaald doel is, dan hoort dat niet slechts duidelijk te zijn maar in bepaalde gevallen zelfs aan specifieke eisen te voldoen.

Het tussen de regels door lezen is dus geen argument. Omdat het de politie dan vooral tot doel lijkt om te doen wat in hun eigen belang is, terwijl men niet om het eigen belang bestaat.

[Reactie gewijzigd door kodak op 23 juli 2024 00:53]

Waarom zou de politie niet zomaar iets kunnen verzoeken? Verzoeken is altijd vrij en vrijblijvend. Als je vriendin jou verzoekt of je onderweg naar huis een pak melk op wil pikken begin je dan ook over gezag en specifieke taken?

Zoals ik het als zei, jij hebt het over sommeren, dat is iets heel anders als verzoeken.
Omdat de taken van de politie niet vrijblijvend zijn. De politie heeft niet dezelfde vrijheden als een persoon.

Ik heb het niet over een uitgangspunt van sommeren, maar waarom er verduidelijking nodig is en waarom er bijvoorbeeld extra verduidelijking als sommeren bestaat. De politie kan niet vrijblijvend maar iets willen bereiken en dan onduidelijk zijn wat dat wel of niet is. Juist om te voorkomen dat nen selectief belangen aan het dienen is, of zelfs belangen die tegenstrijdig zijn met waar ze ook voor op horen te komen.
Bor Coördinator Frontpage Admins / FP Powermod @kodak16 februari 2024 14:58
De politie heeft niet dezelfde vrijheden als een persoon.
Op welk vlak rond iets verzoeken heeft de politie niet dezelfde vrijheden als een persoon en waar blijkt dat uit? Er wordt iets verzocht wat zoals door @TechSupreme al aangegeven iets anders is dan sommeren.

[Reactie gewijzigd door Bor op 23 juli 2024 00:53]

Dat de politie niet zomaar kan verzoeken blijkt uit hun taken. Waarbij nu al meerdere keren duidelijk is gemaakt dat die taken niet vrijblijvend zijn en verzoeken doen overduidelijk geen doel of vrijheid op zich is.

Dat er een verschil tussen sommeren en verzoeken is niet om te doen alsof verzoeken hoe dan ook maar redelijk is. Het geeft vooral aan dat als de politie een doel wil bereiken er aantoonbaar rekening moet worden gehouden met alle taken en plichten die men heeft, zoals niet zomaar een ander verzoeken iets te doen wat lijnrecht tegenover een vrijheid staat (die men ook hoort te beschermen in plaats van om onduidelijke redenen proberen tegen te werken). Verzoeken materiaal te verwijderen is geen neutrale houding die legitieme vrijheid duidelijk probeert te handhaven. Terwijl dat wel hun taak is.

Het verzoeken door een autoriteit is niet ligt op te vatten. De politie kan er niet zomaar vanuit gaan dat als ze in een bericht letterlijk op mogelijke strafbaarheid wijzen, zonder objectiviteit over vrijheid of bewijs van illegaliteit te tonen, het dus maar opgevat kan of zal worden dat hun verzoek los van die opmerking staat.
Heel veel leuke woorden, ik zal het voor je heel kort samenvatten. Door de gezagspositie is vrijwilligheid voor sommige niet duidelijk. Wie z'n probleem is dat? Ieder volwassen persoon hoort ondertussen te weten hoe de wereld werkt, als je dat niet weet dan is dat een probleem van je ouders en/of de scholen waar je op hebt gezeten dat ze jou niet voldoende hebben ingelicht of opgevoed.
Vrijwillige medewerking heeft van doen met de manier waarop
verzocht wordt om toestemming om een bepaalde handeling te mogen verrichten als
de wettelijke grondslag daarvoor ontbreekt (er is geen strafrechtelijke verdenking). Een
verzoek om vrijwillige medewerking kan bijvoorbeeld worden gedaan als een agent
een auto wil doorzoeken, iemand wil fouilleren of graag in een woning zou rondkijken
bij een vermoeden van hennepteelt
Dat kan en mag, dat jij vindt dat het niet zou moeten is een heel ander verhaal. De objectieve redelijkheid van het verzoek staat helemaal los van het feit of het inherent wel of niet mag.

Pak maar eens een willekeurige aflevering van weg misbruikers of probeer het zelf de volgende keer als ze je staande houden. Agent VRAAGT om identificatie -> weigering -> agent sommeert.

En nu we het erover hebben, dat staande houden mag volgens jou ook niet want daar is hetzelfde van toepassing. Dus volgens jou mag de politie als toezichthouder zijn werk niet meer doen zonder je eerst in verdenking te stellen van een misdrijf.

Als je dit alles niet kan begrijpen, dan kan ik je echt niet meer helpen. Dan wordt het echt tijd om volwassen te worden en met een volwassen blik tegen de wereld kijken.

[Reactie gewijzigd door TechSupreme op 23 juli 2024 00:53]

Je voorbeeld toont juist mijn stelling aan. De politie mag niet willekeurig om identificatie verzoeken, dat hoort onderdeel te zijn van een legitiem contact zoals geconstateerde overtreding of getuigen zijn. Dat men het verzoekt maakt het er daarbij niet vrijblijvend door, juist omdat het voor het vervullen van de taken is. Het kan hooguit als vrijblijvend worden gezien als men daarna niet vordert, wat je niet zomaar vanuit kan gaan als men al de noodzaak ziet om te verzoeken het voor uitvoering van hun taken te tonen.

Dat een staandehouding of verzoek niet zou kunnen is geen juiste conclussie. Het het mag slechts onder hun taken, inclusief voldoende duidelijkheid dat men geen rechten probeert te schenden. Daarom krijg je bij een staandehouding ook te horen in welk kader dat is. Zoals getuigen zijn of verdachte.

Ik ben het met je eens dat volwassenen personen hun rechten en plichten zo goed mogelijk kennen. Maar dat wil niet zeggen dat de politie, die de rechten als vrijheden ook hoort te beschermen, dus maar selectief dat even opzij kan schuiven om eigen belang te dienen.
Je haalt nu weer totaal andere dingen aan die helemaal niks met dit te maken heeft. De politie mag je verzoeken om een Trojan RAT te verwijderen. PUNT!

Ze mogen je zomaar om je ID vragen. PUNT!

Een verzoek is niet hetzelfde als sommeren. Jij vindt dat dat niet mag want bla bla bla. Nee, het mag en kan.

Een staande houding is niet hetzelfde als een aanhouding of arrestatie, alweer 2 dingen die jij door elkaar haalt.

https://www.politie.nl/in...den-en-staandehouden.html

[Reactie gewijzigd door TechSupreme op 23 juli 2024 00:53]

Ik stel op geen enkele manier dat de politie het niet mag verzoeken. Ik stel dat het onder voorwaarden mag. Dat we van mening over de voorwaarden verschillen is prima. Jij bent kennelijk van mening dat verzoeken vrijblijvend is, ik geef argumenten dat dit niet zomaar op gaat. Die argumenten kunnen je niet bevallen, maar dat maakt ze niet zomaar minder relevant omdat jij graag vrijblijvendheid wil.

We zijn het volgens mij eens dat verzoeken, sommeren etc verschillend zijn. Maar dat draait om het argument heen dat het verschil niet zomaar de betekenis heeft dat er nodige grenzen aan het verzoeken.
Zullen we even jouw woorden erbij pakken.
Het lijkt namelijk nogal vaag waarom de politie verzoekt tot verwijderen.
De politie kan niet zomaar verzoeken doen.
Omdat de taken van de politie niet vrijblijvend zijn. De politie heeft niet dezelfde vrijheden als een persoon.
Je spreekt jezelf tegen op alle fronten.

Maar goed, kijk zelf maar even. Iemand die het verschil tussen verzoek en sommeren niet KAN begrijpen en iemand die het verschil tussen staandehouden en aanhouden niet KAN begrijpen en de implicaties tussen die twee ook niet wil zien kan ik ook niet verder helpen. De mening die jij hebt is niks anders als dat en daar kan ik verder niks mee. Als je echt van mening bent dat jouw mening de realiteit zou moeten zijn, maak er dan werk van en spreek de politie erop aan.

[Reactie gewijzigd door TechSupreme op 23 juli 2024 00:53]

Hoe is dat volgens jou tegenspreken? Ik stel dat er onduidelijke grond blijkt met onderbouwing. Ik stel dat de politie niet zomaar kan verzoeken zonder dat duidelijk grond kan doen. Ik stel dat die grond niet zomaar selectief rechten kan negeren zonder dat redelijkheid blijkt.
Nogmaals als jij het niet kan begrijpen kan ik jou ook niet verder helpen.
In plaats van op de argumenten in te gaan ben je nu al meerdere reacties loos aan het herhalen en suggestief aan het beschuldigen. Als je geen begrip voor standpunten hebt omdat het je niet uit komt dan is dat prima, maar verval dan niet in dit soort verwerpelijk gedrag en afschuiven.
Nogmaals, jij hebt het over sommeren.
Je negeert de bedoeling die ik noem en valt zonder onderbouwing in herhaling.
Bor Coördinator Frontpage Admins / FP Powermod @kodak16 februari 2024 14:09
De politie kan niet zomaar verzoeken doen.
Een verzoek kan iedereen doen. Je vraagt simpelweg iets te doen of te laten. Waarom zou de politie niet "zomaar" iets mogen verzoeken? Ik zie daar graag objectieve onderbouwing.

[Reactie gewijzigd door Bor op 23 juli 2024 00:53]

De tig RMM (Remote monitoring and management) pakketten die gebruikt worden in IT beheer. Die kan ik ook gewoon 'silent' installeren... Heck, in verschillende gevallen kan ik zelfs op het netwerk, mits ik admin rechten heb op betreffende PC het ook gewoon remote installeren...
Bor Coördinator Frontpage Admins / FP Powermod @Cergorach16 februari 2024 13:18
Je zegt het zelf al; mits je rechten hebt etc. Daarbij brengen de meeste remote management pakketten de gebruiker op de hoogte wanneer iemand meekijkt. Dat doet deze tool in kwestie niet. Het doet erg goed zijn best om te draaien zonder dat de eigenaar van het systeem dat doorheeft; opent zelf control connecties naar buiten zodat het door de meeste firewalls kan communiceren etc. Er zijn duidelijke verschillen tussen remote management oplossingen die legitiem gebruik beogen en een Remote Access Trojan (het zit al in de naam).
Rechten hebben is puur een actie die een stukje malware doet voor je er zijn legio opties om admin rechten te krijgen.

Veel RMM software doet veel meer dan alleen maar meekijken op de desktop. Ik kan volledige controle hebben van de machine zonder dat de gebruiker het weet. Bij veel grote pakketten is dat 'meekijken' melding slechts een optie die je aan of uit kan zetten.

Ik ben van mening dat dit verschil meer in het hoofd zit van bepaalde mensen ipv. dat dit realiteit is. Het verschil is hier echter, met welk doel wordt het verkocht en niet wat zou je ermee kunnen doen? Je kan prima een mes verkopen in bepaalde situaties en in bepaalde weer niet. Je kan gewoon bij de blokker een brood of vleesmes halen, maar dat vlindermes bij Sjaakie om de hoek mag dan weer niet. Maar beide zijn een mes met een iets andere aankleding en een ander doel, echter dezelfde functionaliteit...
Bor Coördinator Frontpage Admins / FP Powermod @Cergorach16 februari 2024 15:56
Ik ben van mening dat dit verschil meer in het hoofd zit van bepaalde mensen ipv. dat dit realiteit is. Het verschil is hier echter, met welk doel wordt het verkocht en niet wat zou je ermee kunnen doen?
Kijk eens naar een aantal opties uit de featuelijst:
feature list that includes dumping the remote computer’s temporary memory; retrieving passwords from dozens of email programs; snarfing the target’s Wi-Fi credentials; and viewing the target’s Webcam.
Bron: https://krebsonsecurity.c...e-revcode-webmonitor-rat/ (eerder door mij aangehaald hier: Bor in 'Politie Noord-Holland benadert gebruikers van remoteaccesstrojan RevCode'
Ja en SSH ook. Het verschil is zelfde tussen een stiletto en een keukenmes.
Nee, het verschil is, dat ik voor een stiletto hem op een lijst vinden die zegt dat hij verboden is. Waar kan ik vanuit de overheid een lijst vinden met verboden software?
Nee, dat is een verschil.

De wetten mbt hacking is dat men geen autorisatie heeft tot het systeem. Terwijl een tool als RDP of SSH met standaard config enkel bedoeld is voor mensen met autorisatie. Natuurlijk kun je dat anders instellen, bijvoorbeeld als je ongeautoriseerd toegang hebt tot een systeem.

Overigens is mijn lokale APV mbt messen zelfs strenger dan dat de Nederlandse wet.
Bor Coördinator Frontpage Admins / FP Powermod @Caelestis16 februari 2024 13:12
RDP is geen RAT vanwege het simpele feit dat het zich niet als trojan kenmerkt. Om als trojan te kunnen worden aangemerkt dient software aan bepaalde kenmerken te voldoen.

[Reactie gewijzigd door Bor op 23 juli 2024 00:53]

Als ze al weten dat die gene het heeft gekocht, waarom dan niet direct vervolgen?
Dit is alleen maar een bangmakerij van we kunnen je mogelijk vervolgen... pak dan ook door!
Bezit is volgens mij niet illegaal (corrigeer mij wanneer ik fout zit). Daarom ook dat het kan leiden tot vervolging. Zodra aangetoond kan worden dat je bezig bent met illegale handelingen heb je wel een probleem lijkt mij.
'waarschuwt de Nederlandse politie dat het kopen en bezitten van dergelijke malware tot strafbare vervolging kan leiden'.
Inderdaad, Het moet toch ook voor onderzoek en educatie beschikbaar zijn.
Omdat het bezit niet een strafbaar feit is denk ik? Als de politie vermoedt dat jij een wapen bezit en alleen een emailadres van je heeft, gaan ze je ook niet vervolgen voor moord.
Dat ligt wat genuanceerder. Het bezit van RevCode kan onder omstandigheden onder het Wetboek van Strafrecht, artikel 139d lid 2 wel strafbaar zijn. Maar daarvoor moet ook het oogmerk om er een strafbaar feit mee te willen plegen bewezen worden. Daar kan je heel bijdehand over doen met hypothetische opmerkingen dat je ook prima legitiem systeembeheer zou kunnen doen met die tool. Maar je moet niet vergeten dat technisch bewijs waaruit blijkt dat je dat eigenlijk nooit doet of bewijs waaruit blijkt dat je wel op forums informatie zoekt over niet legitiem gebruik ook tegen je gebruikt kunnen worden. Ik zou in een eventueel strafrechtelijk onderzoek niet afhankelijk willen zijn van zo'n flinterdunne uitleg over hoe het misschien ook wel heel onschuldig zou kunnen zijn.
Ik denk dat je deze tool als bijvoorbeeld beveiligingsonderzoeker (freelance, bij AV bedrijf, amateur, enz) best mag bezitten als je deze niet gebruikt voor kwade doeleinden (in de volksmond 'hacken').
Het feit dat je (ook) een legitieme baan hebt als beveiligingsonderzoeker zegt nog niet dat je geen oogmerk hebt om er een strafbaar feit mee te plegen. Het bezit kan ook al strafbaar zijn als je er nog geen verder strafbaar feit mee hebt gepleegd, maar het dus wel van plan bent. Dat wil niet zeggen dat er geen mensen zijn met legitieme redenen om de tool te bezitten. Ik lees hier in de reacties wel een aantal weinig geloofwaardige pogingen om mogelijk bezit recht te praten, daar zou ik voor oppassen.
Ik weet niet precies wat de tool doet maar bijvoorbeeld in een VM draaien met IDA Pro of Ghidra om uit te vogelen hoe deze werkt lijkt mij in beginsel niets mis mee. Vooral niet als dat je M.O. is en je dat kunt bewijzen. Een whitehat kan doorgaans bewijzen dat hij of zij een whitehat is.
Dat kan heel goed. Ik wilde vooral waarschuwen dat ik hier onterechte aannames over het strafrecht zie en ongeloofwaardige pogingen lees om bezit recht te praten. Ik wil niet zeggen dat legitiem bezit niet mogelijk is. Bewijs leveren over intenties kan heel lastig zijn, maar in de praktijk kunnen omstandigheden ook onverwachte suggesties geven over intenties die verkeerd worden geïnterpreteerd.
Welke verdachte omstandigheden denk je aan? Bijvoorbeeld ik heb een USB stick met Ventoy en daar staat ook de laatste Tails op. Niet dat ik die gebruik maar als ik hem wil gebruiken wil ik deze bij me hebben. Daarnaast heb ik ook een (om maar een voorbeeld te noemen) Flipper Zero en ik ken mensen die bij de politie werken die er ook eentje hebben.

Ik maak me er geen zorgen over. Pas als je slechte intenties hebt (gehad) zou ik me zorgen maken. Die moet je niet willen hebben. Je gaat altijd wel sporen achterlaten die dat kunnen bewijzen. Wees zuiver in je intenties.

Als je dat niet bent geweest ga ik je geen advies geven, behalve zoek een advocaat.
Ik kan me voorstellen dat bijvoorbeeld het bezoeken van forums over het gebruik van zo'n tool een verkeerde indruk kan wekken als die forums voornamelijk gaan over crimineel gebruik. Terwijl dat ook weer prima uit te leggen kan zijn.
Nou zal er verschil zitten tussen 1x zo'n forum bezoeken en rondkijken of bijvoorbeeld als journalist in bepaalde Telegram groepen zitten versus participeren en er mee handelen. Er moet eerst sprake zijn van een strafbaar feit. Een verkeerde indruk kan tot gevolg hebben verder onderzoek maar men zal niet uitkomen op strafbare feiten.
Wat @Floort volgens mij probeert te zeggen is dat een profiel zo gemaakt is van iemand of deze het wel of niet legitiem gebruikt.
Nu benoem je 1x een forum bezoeken (in eigen persoon) maar dat is maar 1 onderdeel van een profiel en grote kans dat deze anders is dan die van een journalist.

En met al die data in een profiel is zo te herleiden of iemand wel of geen kwaadwillende bedoelingen heeft of zou kunnen hebben.
OSINT onderzoekje. Daar kan ik me wel in vinden.
Ik zeg niet perse dat het makkelijk is om vast te stellen. Het oogmerk is juist lastig te bewijzen. Er is veel context potentieel relevant en er is kans op verwarring en misinterpretatie. Aanwijzingen dat je het ook voor een legitiem doel gebruikt is nog geen bewijs dat je het niet ook voor een strafbaar doel wil gebruiken. Niet dat je je onschuld moet aantonen, maar de kans op misinterpretatie is aanwezig. Zelfs als dat niet tot een veroordeling leidt kan de verdenking en het onderzoek opzich al vervelend genoeg zijn.

Voel je vrij om voor legitieme doeleinden dergelijke tools te bestuderen, maar het vertrouwen dat ik sommigen zie hebben in flinterdunne argumentatie heb ik niet. Ik vind dat de politie het op deze manier heel terughoudend en netjes aanpakt en ik zou het niet gek vinden als er op een later moment wel onderzoeken worden gestart naar sommige gebruikers.
Omdat het bezit niet een strafbaar feit is denk ik? Als de politie vermoedt dat jij een wapen bezit en alleen een emailadres van je heeft, gaan ze je ook niet vervolgen voor moord.
Nee, maar wel voor wapen bezit wat strafbaar is zonder vergunning.
Ze kunnen je wel uitnodigen op bureau voor een gesprek/verhoor.

[Reactie gewijzigd door Dennisb1 op 23 juli 2024 00:53]

Nee, maar wel voor wapen bezit wat strafbaar is zonder vergunning.
Voor wapens zijn expliciete wetten over bezit.
"Uit onderzoek is gebleken dat jouw e-mailadres gelinkt is aan ... de aanschap [sic] van de rat RevCode Webmonitor", staat in de brief te lezen. In de brief 'waarschuwt de Nederlandse politie dat het kopen en bezitten van dergelijke malware tot strafbare vervolging kan leiden'.
Let op de voorzichtige bewoording. Dat komt omdat kopen en bezitten strafbaar kan zijn met een specifiek doel in het achterhoofd. Als bijvoorbeeld een beveiligingsonderzoeker het koopt en ontmantelt om zo beveiliging te verbeteren, dan is daar niets illegaals aan.
Ze kunnen je wel uitnodigen op bureau voor een gesprek/verhoor.
En een uitnodiging kan je altijd negeren. Sterker nog, dat zou je altijd moeten doen. Er is niets voor jou om te behalen door vrijwillig een gesprek aan te gaan met de politie over eigen handelen. Als ze "een zaak" hadden, dan was je al uit bed getrokken.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:53]

Sterker nog: er staat een regelrechte fout in de brief:
In de brief waarschuwt de Nederlandse politie dat 'het kopen en bezitten van dergelijke malware tot strafbare vervolging kan leiden'.
De tekst heeft het over ‘strafbare vervolging’, oftewel de vervolging zou strafbaar zijn. Ik zou zeggen: dan kan het Openbaar Ministerie maar beter niet tot vervolging overgaan. Wat er werd bedoeld is uiteraard ‘strafvervolging’, ook wel vervolging genoemd.
Yeah fun vid, legend. Dat gaat over VS en common law waar je self incrimination heel makkelijk kunt bewerkstelligen. In Nederland werkt dat niet op die manier; hier is circumstantial evidence niet voldoende. Er moet altijd nog ander sluitend bewijs zijn.
Je kunt de maatschappij helpen door bijvoorbeeld op te treden als getuige, bewijsmateriaal te leveren, je kunt bijvoorbeeld uitsluiten dat jij of iemand anders het was. Door de politie te helpen maak je de maatschappij ietsje veiliger en kunnen zij mogelijk een andere zaak oppakken. De (zware) criminaliteit mag niet winnen.
Potentieel slachtoffer van wraak dat is iedere getuige. Dat is dan weer een nieuw strafbaar feit. Het gelinkte probleem komt voort uit digitalisering 2024. In 2004 was dit geen probleem.

Daarnaast neemt zware criminaliteit in Nederland de overhand. Juist een goede reden de politie te helpen. Waarom denk je anders dat een programma als Opsporing Verzocht bestaat? Ook maar afschaffen?

Je bent niet verplicht te getuigen wanneer je daarmee tegen jezelf zou getuigen. Dat is ongeacht wat de overheid stelt een mensenrecht en staat boven de Nederlandse wet.

Je kunt het blijven herhalen, dat maakt het nog niet waar. Je kunt het blijven herhalen, dat maakt het nog niet waar. Je kunt het blijven herhalen, dat maakt het nog niet waar.
Potentieel slachtoffer van wraak dat is iedere getuige. Dat is dan weer een nieuw strafbaar feit.
Daar heeft een slachtoffer niets aan. Zie hoe vaak justitie niet ingrijpt, ondanks dat het om "overduidelijke signalen" gaat van "een bekende van justitie".
Daarnaast neemt zware criminaliteit in Nederland de overhand. Juist een goede reden de politie te helpen. Waarom denk je anders dat een programma als Opsporing Verzocht bestaat? Ook maar afschaffen?
Wellicht, en de politie de middelen en mensen geven om adequaat gericht onderzoek te doen.
Je bent niet verplicht te getuigen wanneer je daarmee tegen jezelf zou getuigen. Dat is ongeacht wat de overheid stelt een mensenrecht en staat boven de Nederlandse wet.
Daar heb je niets aan als je geoormerkt bent door justitie.
Je kunt het blijven herhalen, dat maakt het nog niet waar. Je kunt het blijven herhalen, dat maakt het nog niet waar. Je kunt het blijven herhalen, dat maakt het nog niet waar.
En je kan allemaal redenen blijven bedenken waarom je wel vrijwillig tegen de politie zou praten. Dat houdt niet in dat daar geen risico's aan zitten.
zo'n mail beland al gauw in de spam als phishing bij velen.

Daarnaast zou ik wel eens willen weten wat de criteria zijn voor dergelijke
het kopen en bezitten van dergelijke malware tot strafbare vervolging kan leiden
Op malpedia zetten ze
the controversial aspect that the builder allows to create client binaries that will not show any popup or dialogue during installation or while running on a target system.
maar noVNC kan óók op een systeem geinstalleerd worden en draaien zonder dat de gebruiker dat makkelijk kan zien.

Dit is dus wel een heel grijs gebied dat mogelijk ook legale of OSS software tot illegaal kan verklaren (als OM dat uitkomt). Denk aan Kali, zitten ook allerlei tools in die je legaal dan wel illegaal kan gebruiken.

[Reactie gewijzigd door divvid op 23 juli 2024 00:53]

Verschil is denk ik wel dat NoVnc onderstaande functies niet heeft..

The software is broadly classified as malware by most antivirus companies, likely thanks to an advertised feature list that includes dumping the remote computer’s temporary memory; retrieving passwords from dozens of email programs; snarfing the target’s Wi-Fi credentials; and viewing the target’s Webcam.
Bor Coördinator Frontpage Admins / FP Powermod @divvid16 februari 2024 14:12
Je quote erg selectief. Op malpedia zeggen ze namelijk meer:
On its website, Webmonitor RAT is described as 'a very powerful, user-friendly, easy-to-setup and state-of-the-art monitoring tool. Webmonitor is a fully native RAT, meaning it will run on all Windows versions and languages starting from Windows XP and up, and perfectly compatible with all crypters and protectors.'

Unit42 notes in their analysis that it is offered as C2-as-a-service and raises the controversial aspect that the builder allows to create client binaries that will not show any popup or dialogue during installation or while running on a target system.
het kopen en bezitten van dergelijke malware tot strafbare vervolging kan leiden
Heeft dit enige basis in de nederlandse wetgeving? Ik dacht dat alleen gebruik voor malafide doeleinden strafbaar is? Anders zou je als white-hat hacker al bijna per definitie strafbaar zijn...
Zie Artikel 139d Wetboek van Strafrecht, lid 2a.

Hetgeen wat jij noemt, speelt ook om Cobalt Strike. In principe is dit een testtool, maar in de praktijk gebruiken veel criminelen dit. Jurisprudentie moet dan uitwijzen of het bezit strafbaar is.
Ik ga er toch vanuit dat ze gepakt zijn omdat ze het voor niet legitieme doeleinden gebruikten? Zelf werk ik in de IT security, doe ook pentesten en maak zo vaak gebruik van remote access tools. (ook vergelijkbaar met revcode) Zolang je maar geen schade aanricht en alleen de zwakheden toont waar bedrijven aan moeten werken om veiliger te kunnen werken.
Bor Coördinator Frontpage Admins / FP Powermod @HADES200116 februari 2024 13:35
Als je een pentest uitvoert heb je toestemming van het bedrijf nodig waar je deze test uitvoert. Zonder die toestemming kan je ook strafbaar zijn. In dit geval wordt de betreffende tooling vrijwel exclusief gebruikt voor niet legitieme doeleinden als ik diverse bronnen op Internet mag geloven. Het werd o.a. gebundeld met installers voor Zoom om remote werkers aan te vallen.

Unit42 (palo alto) geeft aan dat de tool wordt aangeboden als C2-as-a-service (voor de duidelijkheid C2 = Command & Control)

[Reactie gewijzigd door Bor op 23 juli 2024 00:53]

Ben wel benieuwd nu naar hoe het echt zit. Is het kopen en bezitten van zulke tools illegaal? Of is het meer bangmakerij? Staat er iets over in de wet? Zo niet, mogen ze je dan überhaupt op een lijst hebben staan als je voor de rest een "brave" burger bent? Dus zonder enig gegronde reden/vermoeden dat je er iets illegaals mee doet en dus alleen maar omdat het een tool is waarmee je veel kwaad kan.
Strafbare vervolging? Sinds wanneer is vervolgen strafbaar?
Bor Coördinator Frontpage Admins / FP Powermod @JPK196016 februari 2024 14:55
Je kan worden vervolg n.a.v. een strafbaar feit. Volgens mij is dat gewoon duidelijk.
Dat is het niet. De intentie mag goed zijn, de uitvoering faalt. Dat kan leiden tot misverstanden en is derhalve allesbehalve 'gewoon duidelijk'. Zeker als het om een eventuele toepassing van strafrecht gaat, is correct en ondubbelzinnig taalgebruik 'gewoon' vereist.
Gelukkig zijn ze beter in recherchewerk dan in Nederlandse zinsbouw. Ik neem aan dat ze bedoelen: 'vervolging wegens strafbare feiten'.
Komt op mij over of iedereen met een flipper zero aangeschreven wordt of ze deze alsjeblieft in de vuilnisbak willen gooien. Ondanks dat er ook mensen zijn die het legitiem gebruiken.

Of de code als trojan or als tool wordt ingezet is wettelijk natuurlijk een enorm verschil. Vindt dit dan ook een vreemde actie.
Het gaat erom waar de tool of software hoofdzakelijk voor wordt gebruikt. Een interessant artikel is artikel 139d van het Wetboek van Strafrecht. Daar staat in lid 2a dat je strafbaar bent als je een technisch hulpmiddel hebt dat hoofdzakelijk is bedoeld voor bijvoorbeeld hacken (138ab Sr.):
een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, ontvangt, zich verschaft, overdraagt, verkoopt, verwerft, vervoert, invoert, uitvoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of
De digitale recherche roept gebruikers van RevCode Webmonitor op zich te melden bij de politie
De politie vraagt gebruikers vooralsnog niet zichzelf te melden.
Dit snap ik niet helemaal, of staan die twee los van elkaar?
Wat kost Revcode RAT eigenlijk?
Bor Coördinator Frontpage Admins / FP Powermod @vj_slof16 februari 2024 13:23
Je kan hem officieel niet meer aanschaffen:
De makers van RevCode werden in 2021 bij een internationale politieactie opgepakt en de tool werd toen offline gehaald.
Verder een interessante read: Who’s Behind the RevCode WebMonitor RAT?

Op dit item kan niet meer gereageerd worden.