Cyberattacks, opsporing en crypto-challenges: Operatie Volt was een groot succes

Zaterdag 27 maart stond in het teken van de spannende wereld van cybersecurity en cyberwarfare bij de politie en Defensie. Het unieke online event Operatie Volt was een groot succes en telde maar liefst 2076 bezoekers. Zij namen actief deel aan inhoudelijke talks en uitdagende online workshops, bezochten digitale stands en hadden flitsende speeddates.

De bezoekers zijn bijna unaniem lovend over Operatie Volt. Uit de evaluatie onder de aanwezigen komt onder meer naar voren dat het algehele event wordt beoordeeld met het cijfer 8,4, waarbij maar liefst 92,5% van de bezoekers aangeeft dat het event aan de verwachtingen heeft voldaan. De zestien verschillende sessies van de politie en Defensie worden eveneens zeer goed beoordeeld (gemiddeld 8,0) waarbij de spannende Hansa Market Infiltration-talk het beste scoort, met een torenhoge 9,5.

Talks tijdens Operatie Volt

De talks vormden een belangrijk onderdeel van Operatie Volt. Van vier talks hebben we voor jullie een uitgebreide samenvatting gemaakt.

1. Hansa Market (politie)

Het bijzondere project Gravesec startte in september 2016 en eindigde met de grote klap in juli 2017. Het was het door Team High Tech Crime (THTC) uitgevoerde onderzoek naar de darknet-market Hansa. De manier waarop het werd uitgevoerd, was wereldwijd uniek. Na een tip dat een development-versie van Hansa market op een Nederlandse server zou draaien, kwam iemand binnen het team op het idee om te proberen de market tijdelijk over te nemen in plaats van hem alleen maar offline te halen. Dat laatste zou als enig resultaat een waterbedeffect sorteren. Het idee was dat door overname van de market de identiteit van kopers - en met name ook die van verkopers - kon worden achterhaald. Verder wilde de politie het vertrouwen in de dark markets verstoren, verzonden drugs onderscheppen en bitcoins in beslag nemen.

Nadat het plan via een speciale justitiecommissie was goedgekeurd, ging het THTC aan de slag. Door een image te maken van de aangetroffen server konden de teamleden een eigen versie van Hansa maken en deze bestuderen. Zo kwamen ze achter de identiteiten van de twee admins achter deze dark market. Ondertussen meldde de FBI dat men vergevorderde plannen had om de - op dat moment grootste - darknet-market Alphabay offline te halen. Het THTC sprak met de FBI af dat men na het moment van het neerhalen van die market niets over de interventie naar buiten zou brengen, zodat het op een exitscam zou lijken.

Ondertussen werden de admins achter Hansa market door de Duitse politie opgepakt en zijn de servers van Hansa market live overgezet vanuit Litouwen naar Nederland. Vervolgens kreeg de Nederlandse politie volledige controle over Hansa market. De PGP-functionaliteit van de site werd gebypassed en de gegevens over duizenden zendingen per dag werden verwerkt. Waar mogelijk werd daar ook direct opvolging aan gegeven. Nadat Alphabay was neergehaald, kwamen zoveel ‘refugees’ over naar Hansa dat de politie de toestroom nauwelijks meer kon bolwerken. Niet heel erg, want na een maand wilde het team er sowieso een einde aan maken. En zo geschiedde. Na pakweg een maand werd de site offline gehaald en vervangen door een splashpage.
Een trotse recherche-chef in Driebergen gaf er een persconferentie over, gelijktijdig met de toenmalige Amerikaanse Minister van Justitie, Jeff Session, in Washington. Een schokgolf ging door de wereld van darknet-markets. De politie kon terugkijken op een onderzoek waarin een goed idee van één persoon tot een geweldig resultaat leidde, dankzij de inbreng van allerlei verschillende persoonlijke kwaliteiten van de teamleden.

2. Catching the bad guys/girls using opensource information (politie)

In deze talk nam Lisette haar toehoorders mee in een ‘digitale huiszoeking’. Om te ervaren hoe het is om een dag als OSINT-rechercheur binnen de politie mee te lopen, had Lisette in de ruimte waar zij zich bevond allerlei voorwerpen geplaatst waar je online onderzoek naar kunt verrichten. Als je van een persoon niets online kunt vinden, wil dat immers niet zeggen dat er ook daadwerkelijk niets is. Wanneer je om de betreffende persoon heen kijkt, is er vaak wel degelijk meer informatie te vinden.

Zo gingen de tweakers die deelnamen aan deze talk aan de hand van een factuur op zoek naar het bijbehorende bedrijf en zochten ze vervolgens hoe het bedrijfspand er in het verleden uit had gezien. Ze gingen aan de slag met verwijderde Hyves-profielen en achterhaalden de exacte locatie waar een bepaalde foto was gemaakt. De tweakers waren hier behoorlijk goed in. Per opdracht wist steeds ongeveer 85% van de deelnemers het goede antwoord te geven. In de tweaker schuilt dus zeker een potentiële OSINT-rechercheur. Lisette eindige haar presentatie met een aantal tips waarmee tweakers zelf meer kunnen leren op dit vakgebied. Zo is het volgen van de hashtag #OSINT op twitter erg handig en verwees ze ook naar een aantal interessante YouTube-accounts en (betaalde) trainingen:

Lezen:

• Short: Twitter > #OSINT
• Long: https://osintcurio.us, Inteltechniques, Bellingcat

Kijken:

• Short: Youtube > Osintcurio.us 10 minuten video’s.
• Long: Youtube talks van ConINT, Layer8, SANS OSINT Summit, DefCon

Doen:

• Short: Sourcing.games, hack.me, @QuizTime
• Long: Training! SANS Sec487, DataExpert, Aware Online, IACA

3. CEMA-operatie op het tactische niveau (Defensie)

Majoor Peter van de Koninklijke Landmacht besprak in zijn talk zeer uitgebreid en gedetailleerd een nagelbijtend spannende CEMA-operatie op basis van fictieve gebeurtenissen. CEMA staat voor Cyber & Electromagnetic Activities. Het voorbeeld van de majoor ging over een cyberoperatie in stedelijk gebied dat vergelijkbaar is met een stad in Afghanistan. Ondanks dat gebruik werd gemaakt van een ‘verzonnen’ situatie en dito beelden, voelde het voor de kijkers alsof ze er daadwerkelijk bij aanwezig waren.

De vijand maakt vandaag de dag gebruik van allerhande digitale middelen, zoals smartphones, tablets, smartwatches, werkstations, internet drones en RC-IEDS. Daarnaast zijn er digitale middelen aanwezig in de structuren van huizen, bedrijven en andere gebouwen, denk aan digitale sloten en wifi-camerasystemen. Ten slotte beschikt de opponent ook over digitale Sewaco: Sensorsystemen, Wapensystemen en Commandovoering Systemen. Aan de Landmacht de taak om ervoor te zorgen dat deze digitale middelen niet meer gebruikt kunnen worden door de vijand, of - en dat is natuurlijk veel slimmer - dat deze middelen in het voordeel van de Landmacht kunnen worden ingezet. Daarbij leunt de Landmacht op verschillende frameworks, in dit specifieke geval het Tactical CEMA operations framework. Daarmee kan men een cyberoperatie stap voor stap voorbereiden en uitvoeren.

In het voorbeeld van Peter had de opponent in een gebouw aan de rand van een stad een high valuable target vergelijkbaar met iemand van het kaliber Saddam Hoessein of Osama Bin Laden. De eenheid diende in het voorbeeld dit target te vinden en te elimineren. Voor een dergelijke operatie moet een uitgebreid stappenplan worden doorlopen. Eerst is er passieve verkenning, waarbij informatie wordt ingewonnen door opensource-kanalen te raadplegen waarbij de vraag ‘wat gebruikt de opponent aan mensen, middelen en methoden?’ centraal staat. Daarna is er de taak om verbinding te leggen met het doelnetwerk, met behulp van speciale apparatuur. Als dat is gelukt, volgt de actieve verkenningsfase om nog beter in kaart te brengen wat voor devices en systemen de vijand heeft. In dit specifieke voorbeeld konden Windows 7-laptops worden gehackt zodat wifi-camera’s werden overgenomen en gsm-verkeer kon worden gestoord.
De operatie wordt gevolgd vanuit een commandopost en na de action on target-fase (het daadwerkelijke neutraliseren van de target), volgt de finale fase. Daarin wordt apparatuur in beslag genomen als bewijslast en om meer intel te vergaren. Op deze manier kan de CEMA een militaire operatie verregaand ondersteunen.

4. Hoe word je een Defensie Cyber Commando (Defensie)

In deze talk werd uitvoerig stilgestaan bij de verschillende onderdelen binnen Defensie en de structuren die ten grondslag liggen aan het worden van een DCC (een Defensie Cyber Command). Zo werden verschillende taken en functies van het leger toegelicht, evenals de specifieke cyber-onderdelen. Deze bestaan uit:

• Defensie Cyber Security Center
• Koninklijke Marechaussee
• MIVD (Militaire Inlichtingen- en VeiligheidsDienst)
• Defensie Cyber Commando & OPCO’s
  
  De organisatie DCC bestaat op zijn beurt weer uit:
• Cyber Operations
• Cyber Warfare & Training Operations

• Cyber Reservisten

Cyber-operaties worden ondersteund door tal van middelen en toolings. Een bekend voorbeeld passeerde tijdens de talk de revue: het Stuxnet-virus werd ooit ontworpen om de centrifuges van het nucleaire programma van Iran te saboteren. Hier werd via het installeren van malware op het netwerk zodanige schade berokkend dat het atoomprogramma van dit land vijf tot tien jaar vertraging opliep.

Tijdens de talk werd ook stilgestaan bij de grote hoeveelheid regelgeving die van kracht is bij de uitvoering van cyber-activiteiten. Opleiden is een belangrijk thema, waarbij mensen zelf ook kunnen trainen met behulp van hack in the box-uitdagingen die Defensie nauwkeurig monitort om goede mensen te spotten. Daarnaast biedt men een cyber-opleidingsprogamma aan, bestaande uit vier modules: Defensief, Forensisch, Offensief en Programmeren. Dit zou moeten zorgen voor goede basiskennis over hoe hacken werkt in combinatie met defensietaken. Daarnaast volgen nog veel meer specifieke opleidingen, en tal van oefeningen. Dat oefenen vindt zowel nationaal als bilateraal plaats, al dan niet in cybercoalities of in samenwerking met de NATO. Dit alles om DCC’s zo goed mogelijk te trainen en klaar te stomen voor het moment dat ze daadwerkelijk ingezet worden bij bestaande bedreigingen of aanvallen.

Geïnteresseerd in werken bij de politie of Defensie? Meer informatie vind je hier voor de politie en hier voor Defensie.