Met project No More Leaks voorkomt de politie veel schade bij bedrijven

De misdaadcijfers rond traditionele criminaliteit dalen, maar het aantal gevallen van cybercrime en digitale misdrijfvarianten neemt toe. De politie wil niet langer dweilen met de kraan open en bedenkt in samenwerking met publieke en private partners interventies om het plegen van cybercriminaliteit moeilijker te maken. Een voorbeeld van deze interventies is het project No More Leaks, waarmee de politie de vlucht naar voren neemt. Door deze publiek-private samenwerking moet de schade als gevolg van misbruik van gelekte of gehackte inloggegevens worden beperkt.

Als een consument inlogt bij zijn favoriete webwinkel kan het gebeuren dat er een pop-up verschijnt. Niet met de laatste aanbieding, maar met een verzoek om het wachtwoord te wijzigen omdat de inloggegevens voorkomen in een gestolen of gehackte database. De kans is groot dat deze actie van de webwinkel voortkomt uit het werk van No More Leaks. Dit project van de politie is sinds afgelopen zomer actief en bewijst nu al z’n waarde.

Laura Pavias is juridisch adviseur digitale opsporing en lid van de landelijke juridische vakgroep digitale opsporing. Ze is betrokken bij de juridische inrichting van het project. Frederiek Burlage is accountmanager Publiek Private Samenwerking bij het Cybercrimeteam in Amsterdam en richt zich op de samenwerking met marktpartijen in No More Leaks. Wat behelst het project precies? Laura: “Met No More Leaks wil de politie misbruik van gestolen en uitgelekte inloggegevens tegengaan, door deze
inloggegevens ‘gehasht’ te verstrekken aan partijen met veel online accounthouders. Met hashen wordt bedoeld dat data met behulp van een wiskundige berekening wordt ‘versleuteld’. Deelnemende partijen kunnen de lijst met hashes van de politie gebruiken als extra beveiligingsmaatregel in hun inlogproces. Als een hash overeenkomt met inloggegevens, krijgt de betreffende klant vanuit het bedrijf het verzoek zijn of haar wachtwoord te wijzigen, om zo mogelijke schade te voorkomen en het account weer veilig te maken.”

Misdaad wordt steeds digitaler

Criminaliteit digitaliseert. Het aantal gevallen van traditionele criminaliteit daalt, terwijl er steeds meer online misdrijven worden gepleegd. Cybercrime is echt iets anders dan gedigitaliseerde criminaliteit, benadrukt Laura. “Bij cybercrime moet je denken aan hacken, ddos-aanvallen en ransomware. Dat is
allemaal zeer IT-gericht. Gedigitaliseerde criminaliteit is traditioneel, maar werkt via het internet. Het gaat daarbij om de ouderwetse babbeltruc die verschuift naar vriend-in-nood-mailtjes of helpdeskfraude. Het zijn allemaal manieren om geld af te troggelen.”
Jongeren zijn de afgelopen jaren steeds vaker bij cybercrime betrokken. Vorig jaar was bij 47 procent van de gevallen iemand van 21 jaar of jonger betrokken, waar dat in 2018 nog bij 33 procent van de cybercrime-zaken het geval was. Dat blijkt uit cijfers van het Openbaar Ministerie. “Vroeger ging het om kauwgomballen jatten in de winkel, nu proberen kwaadwillenden bijvoorbeeld om accounts te misbruiken om gratis films te kunnen kijken. De misdaad verschuift en wij moeten daarin mee veranderen.”

politie 3

Criminelen werken dus steeds vaker online om misdrijven te plegen. Frederiek: “Online bedrijven met veel accounthouders - bijvoorbeeld webshops, internetproviders en online deelplatforms - ervaren veel last van misbruik van gelekte inloggegevens en de daaruit volgende vormen van criminaliteit. In opsporingsonderzoeken komen dergelijke lijsten met gestolen of uitgelekte inloggegevens naar voren, bijvoorbeeld op computers van verdachten van cybercrime. We halen ze ook van het internet. Op het darkweb vindt een bloeiende handel in dergelijke bestanden plaats, maar lijsten kunnen ook gewoon open en bloot op het web staan.”

Gericht op preventie en verstoring

513 miljoen. Dat is het duizelingwekkende getal dat het aantal gelekte inloggegevens in de database weergeeft. Hoe is het project ontstaan? Frederiek: “Het cybercrimeteam van de politie kwam talloze gestolen en gehackte lijsten tegen en stelde zich de volgende vragen: wat kunnen we hiertegen doen en op welke manier kunnen we de burger beschermen en bedrijven weerbaarder maken? ”De politie was ook al in gesprek met webshops die heel veel last hebben van credential stuffing en account takeovers. Daarbij gebruikt een cybercrimineel een set inloggegevens en probeert die geautomatiseerd uit bij een webwinkel, om zo toegang te krijgen tot zoveel mogelijk verschillende accounts. Als hiermee raak wordt geschoten, kan hij of zij producten en diensten bestellen op andermans naam.” Credential stuffing werkt heel effectief omdat bijna twee derde van de internetgebruikers wachtwoorden hergebruikt. “Webshops doen niet iedere keer aangifte, dat is te omslachtig voor ze. Met dit project hebben we vanuit de politie een antwoord op deze vorm van cybercrime, gericht op preventie en de verstoring van het werk van criminelen.”

Het idee voor No More Leaks ontstond al in juni 2020. Laura: “Het duurde lang voordat de juridische kant was geregeld. We moesten alles toetsen aan de Wet politiegegevens (Wpg) en de Algemene Verordening Gegevensbescherming (AVG). Het gaat om heel veel data en de politie was niet gewend om data te delen. Van oudsher richt de politie zich alleen op het binnenhalen van informatie, en nu is er een proactieve rol voor de politie die we juridisch moesten onderbouwen. Het convenant daarvoor is afgelopen juni getekend.”

Er moest veel onderzoek worden gedaan naar de wet- en regelgeving op het gebied van het verwerken van persoonsgegevens. Gebruikersnamen en wachtwoorden zijn immers makkelijk te herleiden tot een persoon, en een overheidsorganisatie mag persoonsgegevens niet zomaar delen. Daar moet een wettelijke grondslag voor zijn.
Laura: “We hebben een extra privacywaarborg ingebouwd door de gegevens te hashen.“We hebben een extra privacy-waarborg ingebouwd door de gegevens te hashen."
We delen dus niet direct de gegevens, maar een versleuteling ervan. Bedrijven kunnen die gehashte gegevens integreren in hun systeem. Dankzij de versleuteling kunnen bedrijven niet zien welke inloggegevens wij delen. Logt iemand in met gestolen of gelekte inloggegevens die voorkomen in de database, dan krijgt het bedrijf een hit op basis van de overeenkomst met de hash en volgt automatisch een notificatie: pas op, je gegevens komen voor op een lijst met gehackte gegevens, dus pas je wachtwoord aan. Op die manier maken we geen inbreuk op de privacy. De gegevens zijn voor een webwinkel pas te herleiden op het moment dat iemand zelf de gegevens invoert en het bedrijf die gegevens zelf ook in zijn bestanden heeft staan.” De bedrijven leveren voor No More Leaks slechts één statistiek terug aan de politie, namelijk het aantal hits. Bedrijven
delen geen inhoudelijke informatie over de hits; klanten hoeven daarom niet bang te zijn dat de politie beschikking krijgt over gevoelige informatie.

Verder komen door wederkerigheid

No More Leaks is een publiek-private samenwerking. Wat betekent dat in de praktijk? Frederiek: “De politie is geen cybersecurity- of consultancybedrijf. We werken natuurlijk wel maatschappelijk verantwoord, dus we staan absoluut open voor bedrijven die samen met ons cybercrime willen bestrijden. Daarmee leren we van elkaar; in het bedrijfsleven werken natuurlijk veel IT’ers. Samen doen we bijvoorbeeld hackathons waarin we echte politievraagstukken voorleggen. Criminaliteit wordt steeds ingewikkelder, de ontwikkelingen gaan snel. Daardoor lonen dergelijke samenwerkingen, want twee weten meer dan één. Door de krachten te bundelen, zijn we effectiever in onze aanpak.”

Dit helpt dus de ontwikkeling van de politie. Het commentaar op de politie is nog weleens dat er goede ideeën leven die door de waan van de dag niet verder worden ontwikkeld. Frederiek: “We hopen in deze publiek-private samenwerkingen verder te komen, op basis van wederkerigheid.” De politieteams zijn divers opgebouwd en bestaan voor de helft uit tactische politiemensen. De andere helft wordt gevormd door experts op het gebied van financiën en IT, en een medewerker publiek-private samenwerkingen. “Juist die vervlechting is goed en leuk”, zegt Frederiek. “Tactische collega’s leren zo veel over digitaal denken en werken, en andersom leren de digitale medewerkers veel over het politiewerk van de tactische collega’s. Er is een goede olievlekwerking, ook in de samenwerking met partners.”

Kat-en-muisspel

Het mantra van de politie luidt ‘voorkomen, verstoren en opsporen’. De teams doen veel aan bekendheid, bijvoorbeeld met het Hackshield-programma om de jeugd online weerbaarder te maken en ze te laten leren over de digitale wereld. Ook daarin werkt de politie graag samen met private partijen. “Successen boeken we ook met verstoring, zoals bij de ransomware Deadbolt, die data versleutelt en vervolgens
betalingen in bitcoin eist. “Successen boeken we ook met
verstoring, zoals bij de ransomware Deadbolt, die data versleutelt en vervolgens
betalingen in bitcoins eist."Het cybercrimeteam van Oost-Brabant heeft samen met het cybersecuritybedrijf responders.nu descriptiesleutels aan slachtoffers kunnen geven. Zo konden ze weer bij hun gegijzelde data”, vertelt Frederiek.

De politie werkt met landelijke en regionale teams, maar kan nog meer handen
gebruiken. Laura: “De cybercrimineel heeft een toolbox vol instrumenten, en daar moeten we tegenop kunnen. Het is altijd een kat-en-muisspel en soms lijkt het op dweilen met de kraan open. We doen wat we kunnen, en kijken naar alle mogelijkheden. Ons motto is: laten we dweilen terwijl we de kraan proberen dicht te draaien.”

De samenwerking met publieke partners blijkt succesvol. Daarom zoekt de politie meer
partners. Ook wil de politie graag haar eigen teams uitbreiden en daarvoor zoekt ze
nieuwe medewerkers. Ben je benieuwd wat je kunt doen? Kijk dan hier.
Interesse om deel te nemen aan No More Leaks? Mail dan naar nomoreleaks@politie.nl.

Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij de politie en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

IT-banen

Reacties (15)

Anoniem: 1576590 27 december 2022 13:36

Het probleem dat hier gedeeltelijk wordt aangekaart, is dat mensen "zwakke" wachtwoorden kiezen en/of (ook sterke) wachtwoorden hergebruiken.

Dat is absoluut niet iets om je voor te schamen, want het is, voor mensen, onmogelijk om voor elk account een voldoende "sterk" wachtwoord te bedenken én dat te kunnen onthouden.

Zwak wachtwoord
Een zwak wachtwoord is een wachtwoord dat ofwel:

Jij zelf elders hebt gebruikt en is "gelekt" (dan kennen de aanvallers meestal ook jouw e-mailadres);
Ooit door iemand anders is gebruikt en is "gelekt" (in verkeerde handen is gevallen);
Te raden of te gokken valt op basis van (o.a. op internet te vinden) informatie over jou en jouw omgeving (zoals de voornaam en geboortejaar van jouw partner);
Dat middels een klassieke "brute force" aanval kan worden "geraden".

Sterk wachtwoord
Een wachtwoord is sterk als geen enkele van de bovengenoemde zwaktes van toepassing is.

Probleem: de actie van de politie bestrijdt alleen de items achter de eerste twee bullets. Oftewel: een wachtwoord dat niet vóórkomt in lijsten met eerder gelekte wachtwoorden, is niet persé sterk.

Redelijke oplossing
Aangezien mensen onmogelijk veel verschillende sterke wachtwoorden kunnen onthouden, ontkom je m.i. niet aan het gebruik van een wachtwoordmanager (of van een sterker alternatief zoals passkeys, maar die werken nog nauwelijks en kennen ook nadelen).

Een wachtwoordmanager kan, voor elk website- (of ander) account van jou een lang uniek random (willekeurig) wachtwoord genereren en voor jou onthouden. Anders dan in een tekstbestand zullen de meeste wachtwoordmanagers de "database" (met jouw inloggegevens per account) grondig versleutelen. Dat gebeurt met jouw "master password" dat beslist sterk moet zijn, en je nooit mag vergeten (dit overkomt veel beginnende gebruikers van wachtwoordmanagers, dus schrijf het ergens op en bewaar dat op een veilige plaats die je niet vergeet).

Nb. de optionele versleuteling van "Office" bestanden, zoals Excel, is schijnveiligheid want deze zijn vaak zeer eenvoudig te kraken.

Welke wachtwoordmanager
Dit is een lastige vraag: sowieso heb je "online" (webbased) en "offline" (lokaal programma of app) wachtwoordmanagers. Vooral na het steeds groter wordende drama met Lastpass is de keuze lastig.

Zelf gebruik ik KeePass (gratis, donaties zijn zeer welkom). Dat is een lokaal programma, waarvan je de (versleutelde) database desgewenst in "de cloud" kunt zetten.

Er bestaan nogal wat sterk op KeePass lijkende programma's voor allerlei besturingssystemen, die met hetzelfde databaseformat kunnen omgaan. Die zijn echter niet allemaal even veilig, en op Internet kun je ook ronduid kwaadaardige "klonen" daarvan (maar ook van KeePass zelf) vinden. Het is dus belangrijk om je ervan te verzekeren dat de software van een betrouwbare ontwikkelaar afkomstig is. De echte KeePass (en zeer veel lezenswaardige informatie) vind je op https://keepass.info/.

Risico's lokale wachtwoordmanager
Dat zijn:

Master password vergeten
Geen (up-to-date) back-up en verlies van apparaat met database, of corruptie van de database
Malware (keylogger) op apparaat waarop je de wachtwoordmanager start en jouw master password invoert
Zwak master password en in verkeerde handen vallen van de database
Geen "supertraag" algoritme om het master password om te zetten in de feitelijke encryptiesleutel voor de database (alleen scrypt en Argon2 zijn goed genoeg, PBKDF2 is te zwak tegen klassieke brute-force aanvallen)

Keyloggers komen ook steeds vaker voor op mobiele apparaten (vooral met Android, zonder dat "root" nodig is), zie bijv. dit artikel over de op Anubis gebaseerde "Godfather" trojan (via een "betrouwbare" app -dus niet- uit de Google Play Store). Aanvulling 13:39: vooral de GIF-animatie "Figure 7: Google Protect animation" spreekt m.i. boekdelen.

Master password
Er vanuit gaande dat je geen malware op jouw apparaten hebt, is een sterk master password voor toegang tot jouw wachtwoordmanager van groot belang. Het is immers lastig te voorspellen (vooral bij cloudopslag) dat de database, of een back-up daarvan, nooit in verkeerde handen zal vallen.

Sterk wachtwoord #2
Hoe je een sterk wachtwoord kunt "bedenken" schrijf ik in deze bijdrage. Daarin geef ik ook meer details over het risico van "dictionaries", lijsten met gelekte wachtwoorden.

2FA/MFA
Laat je niet foppen door mensen die zeggen dat je veilig bent met een zwak wachtwoord als je een gangbare vorm van MFA gebruikt, zoals TOTP-apps. Grote problemen daarmee beschrijf ik hier, deels verwijzend naar een wetenschappelijke publicatie van onderzoekers van de UC Berkeley.

Surf safe!

Edit 13:51: bullets 4 en 5 toegevoegd onder "Risico's lokale wachtwoordmanager"
Edit 13:59: de tekst onder die bullets aangepast omdat "de laatste bullet" andere tekst heeft
Edit 14:44: ik had het artikel aanvankelijk niet goed gelezen, zo te zien wordt er gecheckt op (een hash van) de combinatie van user-ID en wachtwoord. Ik hoop dat daarnaast ook op (de hash van) alleen wachtwoord wordt gecheckt, om online en offline dictionary attacks aan te pakken. Daarom verwijs ik nu achter "Probleem:" naar de eerste 2 bullets (was alleen de tweede).

[Reactie gewijzigd door Anoniem: 1576590 op 23 juli 2024 13:22]

leesiktochniet 27 december 2022 15:05

Wat ik een beetje mis in deze is de toestemming van de gebruiker. Indirect geef je hiermee de politie de kans om jouw bezoek aan die website bij te houden en daarmee de mogelijkheid een profiel per persoon bij te houden van websites waar een account in gebruik is.
Het enige wat zij hier voor hoeven te doen, is bij te houden welke websitehouder welk account heeft opgevraagd.
Zij zouden in hun logs bijvoorbeeld kunnen zien dat tweakers.net, bol.com, viezeplaatjes.nl en detegenpartij.nl mijn account hebben geverifieerd en kunnen zo een profiel opbouwen van gegevens over burgers, waar je de overheid misschien niet mee moet vertrouwen.

Anoniem: 1576590 @leesiktochniet • 27 december 2022 16:27

leesiktochniet schreef:

Wat ik een beetje mis in deze is de toestemming van de gebruiker. Indirect geef je hiermee de politie de kans om jouw bezoek aan die website bij te houden en daarmee de mogelijkheid een profiel per persoon bij te houden van websites waar een account in gebruik is.
Het enige wat zij hier voor hoeven te doen, is bij te houden welke websitehouder welk account heeft opgevraagd.

Hoe het precies geïmplementeerd wordt, weet ik niet, maar in het artikel staat:

De bedrijven leveren voor No More Leaks slechts één statistiek terug aan de politie, namelijk het aantal hits. Bedrijven delen geen inhoudelijke informatie over de hits; klanten hoeven daarom niet bang te zijn dat de politie beschikking krijgt over gevoelige informatie.

Als een website bijvoorbeeld 1x per dag het aantal hits van de afgelopen 24 uur terugmeldt, is daar niet uit te halen wie (met welke hash van wachtwoord of hash van user-ID + wachtwoord) er inlogde (tenzij er maar 1 persoon in de lijst staat).

Bovendien, mocht een website samenwerken met de politie in het kader van "No More Leaks" en terugmelden wie wanneer inlogde, dan verschijnt er -als het goed is- een notificatie dat jij er verstandig aan doet om jouw wachtwoord te wijzigen. Als jij dan jouw wachtwoord door een sterk exemplaar vervangt (mijn advies: uit een wachtwoordmanager), dan kan de politie jou niet langer tracken.

De politie (of AIVD, MIVD, NCTV of buitenlandse veiligheidsdiensten) zou eigenaren van websites kunnen vragen of zelfs dwingen om, elke keer dat jij inlogt, dat door te geven (op basis van jouw user-ID). Maar dat staat dan los van het "No More Leaks" project.

Als je dat laatste (voor jou als persoon en de websites die je bezoekt) als een serieus risico ervaart, wordt het lastig internetten.

Een m.i. groter risico van "No More Leaks" zijn implementatiefouten op websites: er zijn meer verwerkingen van user-ID en met name wachtwoord nodig waarbij fouten gemaakt kunnen worden en/of waarbij deze vertrouwelijke informatie langer en/of op meer plaatsen onversleuteld in het geheugen van de server staat. Die risico's zijn er ook voor mensen met sterke wachtwoorden (die geen hits opleveren).

No More Leaks @Anoniem: 1576590 • 27 december 2022 17:20

Bovendien, mocht een website samenwerken met de politie in het kader van "No More Leaks" en terugmelden wie wanneer inlogde

Er is geen enkele bedrijf dat aan de politie terug meldt wie wanneer inlogde en die situatie zal er binnen No More Leaks ook nooit komen. Bedrijven houden uitsluitend het aantal hits per maand bij en No More Leaks kan dit getal bij het bedrijf opvragen (er is geen automatische uitwisseling). Het bijhouden van hits is bedoelt ter controle dat de No More Leaks implementatie bij het bedrijf werkt. Uitsluitend het aantal hits per maand zegt heel weinig: wij weten niet hoeveel inlogpogingen een bedrijf maandelijks verwerkt, wij weten niet welke hashes geraakt zijn, wij weten niet op welke set met data de hits behaald zijn. Het is één getal zonder context.

Anoniem: 1576590 @No More Leaks • 27 december 2022 18:03

Door No More Leaks:

Er is geen enkele bedrijf dat aan de politie terug meldt wie wanneer inlogde en die situatie zal er binnen No More Leaks ook nooit komen.

Dat is precies wat ik opmaakte uit het artikel bovenaan de pagina, dank voor de bevestiging!

leesiktochniet @Anoniem: 1576590 • 27 december 2022 21:25

In mijn post ging ik er vanuit dat de check plaats vond bij de politie zelf, dus webwinkel stuurt hash van gebruiker op via een api en krijgt terug of er een hit is. Waarbij dan via bijvoorbeeld de api-key te achterhalen zou zijn welke gebruiker op welk platform te vinden is.

Maar als ik deze reacties lees is dit dus blijkbaar niet het geval, als ik het nu goed begrijp krijgt de betreffende website de volledige lijst met hashes en checkt dit lokaal (zelf).

RoestVrijStaal 27 december 2022 12:56

“Webshops doen niet iedere keer aangifte, dat is te omslachtig voor ze. Met dit project hebben we vanuit de politie een antwoord op deze vorm van cybercrime, gericht op preventie en de verstoring van het werk van criminelen.”

Gôh, doet dit dan niet een belletje rinkelen om naast dit project, het proces om aangifte te doen en te verwerken te versimpelen. Of zeg ik nou iets heel geks?

[Reactie gewijzigd door RoestVrijStaal op 23 juli 2024 13:22]

niki_lauda @RoestVrijStaal • 27 december 2022 20:14

Misschien bij de bron aanpakken. Waarom moet ik een account aanmaken bij één webshop. Ze moeten mijn mailadres hebben, het verzendadres en de betaling. Meer niet. Dataminimalisatie…..

RoestVrijStaal @niki_lauda • 27 december 2022 20:31

Van de andere kant: wil je dat één bedrijf of (semi-onafhankelijke) overheids)instantie kan inzien bij welke webshop jij koopt?

ShadowBumble 27 december 2022 13:15

Er zijn meerdere initiatieven zoals deze :

NoMoreDDoS -> https://www.nomoreddos.org/
NoMoreRansom -> https://www.nomoreransom.org/

En er zijn er vast nog wel meer, deze initiatieven draaien voornamelijk en enkel als een brug tussen de private en overheids sector op het betreffende topic.

ACM Software Architect @O085105116N • 27 december 2022 14:13

Dit project heeft geen zin als de datasets van de politie niet gebruikt worden door derden (Tweakers en diverse anderen maken gebruik van die dataset).

Dat is hier de publiek-private samenwerking; Politie verzameld gegevens en levert die aan, derden implementeren logica om die gegevens te kunnen inlezen en toe te passen bij wachtwoordcontroles. En deze specifieke samenwerking heeft dan juist tot doel dat er minder criminele activiteiten plaats kunnen vinden bij de betreffende websites.

O085105116N @ACM • 27 december 2022 14:28

Mmm. Misschien heb ik vanuit de heup geschoten. Maar nog steeds lijkt me dit, op deze manier niet de oplossing. Ik begrijp niet waarom je hier mee “te koop” loopt. Je tekent als het ware een target op de rug van deze bedrijven.

ACM Software Architect @O085105116N • 27 december 2022 16:12

Je tekent als het ware een target op de rug van deze bedrijven.

Hoezo? Ben je bang dat zo'n dataset dan via een van de partijen in handen van criminelen komt?

Er zijn diverse van deze initiatieven. Van de Politie (en ook bij die anderen) krijg je alleen maar 1-weg gehashte gegevens waarmee je kan valideren of bepaalde inloggegevens in die dataset zitten. Er is dus niet te achterhalen wat de precieze inloggegevens zijn.

Op dit item kan niet meer gereageerd worden.