Takedown is een podcast van Team High Tech Crime van de Nederlandse politie. THTC houdt zich bezig met complexe (inter)nationale cybercrimezaken en nieuwe vormen van hightech criminaliteit. De doelstelling van dit team? Het bestrijden van cybercrime om Nederland minder aantrekkelijk voor cybercriminelen en dus veiliger te maken. In de zes afleveringen van de podcast Takedown spreken leden van THTC met journalist Vivianne Bendermacher over hun specialistische werk. Daarbij staat steeds één zaak centraal. In dit artikel gaan we in op de derde zaak, die draait om een ethische hacker uit Nederland die toegang wist te krijgen tot het Twitter-account van een van ‘s werelds machtigste personen: Donald Trump.
Hoofdrolspeler in deze zaak is de Nederlandse ethische hacker Victor Gevers, oprichter van het Dutch Institute for Vulnerability Disclosure (DIVD). Hij kreeg toegang tot het Twitter-account van niemand minder dan Donald Trump. Dat lukte hem zelfs twee keer, in 2016 en 2020.
Beluister de podcast:
Gehashte wachtwoorden
Victor bevond zich in april 2016 met vrienden op een cybersecurity-conferentie toen een groot lek in de database van LinkedIn bekend werd. Terwijl ze in hun hotelkamer de gelekte gegevens controleerden, doken namen van prominente figuren op, waaronder de toenmalige presidentskandidaat Donald Trump. De ontdekking van een bekend wachtwoord in de gelekte gegevens leidde tot een onderzoek naar andere openbare data. Victor en zijn vrienden ontdekten dat Trump hetzelfde wachtwoord voor verschillende diensten gebruikte. Dit wachtwoord was ‘you’re fired’, bekend van de televisieshow The Apprentice.
Victor: “Ik ontdekte dat het wachtwoord van het account gelijk was aan dat van e-mailadressen die betrokken waren bij meerdere beveiligingslekken. Het wachtwoord bleek in verschillende databasedumps te staan waar gehashte wachtwoorden vaak worden blootgesteld. Ik kwam erachter dat hetzelfde wachtwoord op meerdere plaatsen werd gebruikt, wat natuurlijk een grote kwetsbaarheid is in de beveiliging.”
“Om toegang te krijgen tot het account simuleerde ik een omgeving. Via openbare data wisten we dat Trump fan was van Android-apparaten. Uiteindelijk combineerden we client-ID-informatie en geolocatiegegevens, gebruikmakend van een proxy om me voor te doen als iemand die zich in de buurt van New York bevond. Ik emuleerde een Android-apparaat op mijn laptop, versterkt door de proxy, en daarmee simuleerde ik de client.”
Python-scripts en fuzzing
Na een succesvolle login en de vaststelling dat er geen tweefactorauthenticatie was ingeschakeld, informeerden Victor en zijn vrienden netjes Homeland Security, maar er kwam geen reactie. Tijdens de verkiezingen van 2020 merkte Victor uiteindelijk dat de beveiliging op overheidsaccounts strenger was geworden. Hij besloot toch om de online beveiliging van de presidentskandidaat opnieuw te testen, met het wachtwoord 'maga2020!', een afkorting van Trumps mantra Make America Great Again. Tot zijn verbazing kwam Victor snel binnen op het account, zonder de gebruikelijke veiligheidsmeldingen van Twitter. “Ik weet nog dat ik dacht: ‘nee, toch niet weer?’ Waarschijnlijk had iemand uit het team van Trump alle beveiliging opengezet en open laten staan. Ondenkbaar, maar toch was het zo.”
Tegen 2020 werd Python veel gebruikt voor het schrijven van scripts die Twitter-api’s konden manipuleren. Deze scripts waren in staat om kwetsbaarheden in een api te ontdekken en te exploiteren, waardoor ongeautoriseerde toegang tot accounts mogelijk werd. Ook fuzzing kwam hierbij van pas, een techniek waarbij willekeurige data worden ingevoerd in een programma om fouten en beveiligingslekken te ontdekken. Deze techniek werd onder andere toegepast op api’s van Twitter. Door fuzzing kon men zwakke plekken in de beveiliging identificeren, waaronder punten die betrekking hebben op authenticatie en data-integriteit.
De politie
We kennen de politie allemaal als het ‘blauw op straat’, maar ook online zet de dienst zich in voor veiligheid in de maatschappij. De specialisten van Team High Tech Crime (THTC) van de Landelijke Eenheid onderzoeken complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech crime. Het doel? Nederland veiliger, en minder aantrekkelijk voor cybercriminelen maken. Wil jij onderdeel uitmaken van dit team of een van de andere cybercrimeteams van de politie? Bekijk hier de mogelijkheden.
Maikel van THTC beschrijft de precaire omstandigheid waar Victor zich in bevindt: “Victor doet feitelijk aan ethisch hacken, maar hij bevindt zich in een complexe situatie. Hoewel hij hackt met goede intenties, maakt het wetboek geen onderscheid tussen ethisch en kwaadwillend hacken; hacken is hacken. Tijdens ons politieverhoor wilden wij als THTC weten wat hij precies had gedaan en hoe. Bij vragen moet je dan denken aan motieven, methoden en de organisatie waarvoor hij werkte. Maar we hebben ook ingezoomd op details van het hacken, zoals het raden van wachtwoorden en het omzeilen van beveiligingsmethoden. Victor werd door ons overigens als getuige gehoord, niet als verdachte. Het was vergelijkbaar met hoe we een ooggetuige bij een verkeersongeval spreken.”
(Geen) Grens overgegaan
Team High Tech Crime en het Openbaar Ministerie kregen de taak om dit specifieke geval van ethisch hacken te beoordelen. THTC focuste zich in deze zaak op de technische aspecten en onderzocht wat er nodig was om op deze manier bij Twitter op een account in te loggen Daarnaast onderzocht men of het verhaal van Victor met de aangetroffen situatie strookte. Maikel legt uit: “Bij THTC zitten veel specialisten die onder andere kennis hebben van pentesting. Dat is handig wanneer we onderzoek doen met in beslag genomen apparatuur, maar in dit geval ook om Victors verhaal te valideren.”
Ymkje, werkzaam als cybercrime-specialist bij het Openbaar Ministerie, kreeg de taak om de acties van Victor te beoordelen vanuit het OM. Bij het beoordelen van een ethische hack kijkt Ymkje eerst naar het maatschappelijk belang, zoals de beveiliging van ziekenhuisgegevens of politieke accounts. Vervolgens beoordeelt ze de proportionaliteit van de actie: is er niet meer informatie onthuld dan strikt noodzakelijk om de kwetsbaarheid aan te tonen? Ten slotte wordt gekeken naar subsidiariteit, met andere woorden of er een minder vergaande manier zou zijn om hetzelfde doel te bereiken, bijvoorbeeld door eerst de organisatie te informeren voordat informatie publiek wordt gemaakt.
Victor: “Het was goed dat ik alles heel nauwkeurig had gearchiveerd en dat ik nooit iets heb gepost uit naam van Trump. Ik had heel makkelijk een plaatje kunnen posten of iets kleins kunnen aanpassen. Maar dan was ik over een grens gegaan. Dan had mijn actie zich als het ware in het publieke domein afgespeeld, en dat is strafbaar.”
Ondanks zijn ethische benadering en samenwerking met de autoriteiten, waaronder een gesprek met de Amerikaanse Secret Service, bleef het Witte Huis ontkennen dat Victor toegang had tot Trumps account. Dankzij het feit dat de Nederlandse en internationale richtlijnen voor ethisch hacken waren nageleefd, werd zijn zaak afgesloten zonder dat er strafbare feiten aan het licht waren gekomen.
Beveiliging van Twitter (X) in 2023
Elon Musk heeft aangekondigd dat het X-platform belangrijke stappen wil zetten om de privacy van gebruikers te verbeteren. Een van de meest opvallende aankondigingen is dat men van plan is om end-to-end encryptie te implementeren voor direct messages (DM’s). Dit betekent dat de inhoud van DM’s volledig beveiligd zal zijn en zelfs X-medewerkers of Musk zelf geen toegang zullen hebben tot de berichten. Daarnaast wil Musk voice- en videochatfuncties toevoegen aan het platform. Hierdoor kunnen gebruikers wereldwijd communiceren zonder hun persoonlijke telefoonnummers te delen. Deze stap lijkt vooral te worden gezet om te kunnen concurreren met platforms zoals Signal, die al langer standaard versleutelde communicatie bieden.
Er zijn echter enkele beperkingen en vereisten verbonden aan het gebruik van deze versleutelde DM’s. Zowel de verzender als de ontvanger moet zijn geverifieerd of verbonden met een geverifieerde organisatie, wat meestal een Twitter Blue-abonnement vereist. Bovendien biedt de huidige encryptie geen bescherming tegen man-in-the-middle-aanvallen, en de metadata van de berichten is niet versleuteld. X werkt echter aan het oplossen hiervan door cryptografische handtekeningcontroles en veiligheidsnummers toe te voegen.
Zo beluister je de Takedown-podcast + geef je mening
Je kunt Takedown beluisteren via artikelen die in samenwerking met de nationale politie en Team High Tech Crime op Tweakers worden gepubliceerd, maar ook op Spotify of welk podcastplatform je ook verkiest. Door je te abonneren op Takedown ontvang je een notificatie zodra een nieuwe aflevering beschikbaar is.
We zijn benieuwd wat jij van deze podcast vindt. Vul hier de korte enquête in en laat het ons weten. Wil je meer weten over werken bij THTC? Hier vind je een overzicht van alle IT-vacatures bij de politie.
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij de politie en Tweakers Partners. Tweakers Partners is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Bekijk hier het overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_exif()/i/2005989152.jpeg?f=fpa)
:strip_exif()/i/2006225226.jpeg?f=fpa)
:strip_exif()/u/47272/steinhal5.gif?f=community){kind=small}
/u/1568000/crop6111972429a47_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/67458/2.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/132250/d1ca484677dbb1382705e67689809639.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/170517/AutobotDFF.jpg?f=community){kind=small}
/u/357284/64x64avatar.png?f=community){kind=avatar}
/u/395016/waiting.png?f=community){kind=small}
:strip_icc():strip_exif()/u/15069/smokey_3.jpg?f=community){kind=small}
/u/500314/crop641c5e830069a_cropped.png?f=community){kind=small}