Internetkraken voor gewin leidt tot forse celstraffen

Twee jonge internetboeven kregen deze week celstraffen, maar hadden volgens de rechters lang genoeg in voorarrest gezeten. Justitie steunde vooral op internettaps van chats. De hackers leken vooral stoer te willen zijn - de buit bestond uit PSP's en Prada's - maar dat brak ze op.

Hoofdverdachte S. B. (20) uit Loon op Zand en medeverdachte Ferry C.K. (28) uit Rijswijk ontvingen deze week de tot nu toe zwaarste straf in Nederland voor computermisdaad. Op 30 januari 2007, bijna 1,5 jaar na hun daden, werden ze veroordeeld tot 2 en 1,5 jaar celstraf door de rechtbank in Breda. Het Openbaar Ministerie had langere celstraffen geëist, respectievelijk 3 en 2 jaar. Maar met aftrek van het voorwaardelijke deel van de straffen besloten de rechters dat de twee hun celdeur achter zich mogen dicht trekken.

Ze hadden al 11 maanden en 9 maanden in voorarrest gezeten. Dat komt evenwel niet helemaal overeen met de lengte van de onvoorwaardelijke celstraf, maar de rechter gunde het duo een nieuwe start in vrijheid. Daarnaast kregen ze ook nog kleine geldboetes: B. moet 9.000 euro betalen, C.K. 4.000. Ook dat was minder dan de eis van het OM. De verdachten B. en C. moeten ook de schade terugbetalen aan de Staat die respectievelijk bijna 17.000 en ruim 2.600 euro bedraagt.

Justitie schatte dat de verdachten met hun activiteiten in een half jaar samen 60.000 euro hebben verdiend. Dat klinkt als een laag bedrag voor wat het OM de grootste strafzaak over cybercrime in Nederland noemt. Dat is het toch, doordat de twee een zogeheten botnet beheerden van vele tienduizenden computers. Die waren besmet met door hen geproduceerde virussen. Met dat botnet zouden ze sites hebben platleggen, spyware of adware hebben geïnstalleerd en phishingaanvallen hebben uitoefenend. Maar dat allemaal bewijzen, bleek nog een flinke kluif voor Justitie.

De grootte van de zaak was niet overdreven. Botnets vormen een groot probleem, omdat de georganiseerde criminaliteit er gebruik van maakt, met verspreiding van spyware die financiële gegevens van pc's steelt. En met behulp van botnets worden websites platgelegd. Een van de grondleggers van het web, Vincent Cerf, noemde botnets onlangs zelfs een 'grote bedreiging voor de toekomst van internet'. Hij schat dat 25 procent van alle computers op internet al is besmet met een virus waardoor ze onderdeel van een botnet zijn geworden. Dat is niet misselijk.

Anders dan de 'Ddos-kabouters'

Het was trouwens niet de eerste keer dat in Nederland botnets onderwerp van een strafzaak waren. Dat gebeurde ook twee jaar geleden in de zaak van de 'Doss-kabouters'. Vijf jeugdige hackers, waarvan maar twee meerderjarig waren, legden toen met behulp van een botnet sites van de rijksoverheid dagenlang plat. Ze werden ervoor veroordeeld tot verschillende taakstraffen. De hoofdverdachte tot de langste, 240 uur. Het ICT-uitvoeringsorgaan van de overheid, ICTU, eist trouwens nog altijd half miljoen euro vanwege de vermeende geleden schade. De afwikkeling van dat proces over de schadevergoeding gaat nog lang duren. De advocaten van de Ddos-kabouters betwisten de hoogte van het bedrag, omdat er bijvoorbeeld de aanschaf van nieuwe computerapparatuur in mee is gerekend.

De zaak tegen B. en C.K. verschilt erg van die van de Ddos-kabouters. De laatsten claimden een politiek doel, terwijl B en C.K. sites dreigden plat te leggen om er geld mee te verdienen. Ook gebruikten de Ddos-kabouters hun botnet niet om adware of spyware te installeren. Noch probeerden ze inloggegevens van betaaldiensten te ontfutselen of bedrijven af te persen. Die beschuldigingen speelden in de zaak tegen B en C.K. wel.

Een ander verschil is dat bij de Ddos-kabouters de slachtoffers makkelijk waren te vinden - namelijk overheidsinstanties - terwijl de gedupeerden van B. en C.K. tijdens het proces vrij afwezig bleven. Het ging dan ook om vele internetters uit meerdere landen en een aantal Amerikaanse internetbedrijfjes die zelf ook een dubieuze signatuur hebben.

De verdachten 'werkten' op afstand voor deze bedrijven die advertenties verkopen op adware, stiekeme programma's die op slinkse wijze reclame vertonen. B. en C.K. kregen betaald per installatie van adware software, een praktijk die bekend staat als 'pay-per-install', door de bedrijven 180Solutions, en het Canadese zusterbedrijf Loudcash, Mediaticket en Yoursitebar. Geen bedrijven die zelf al te veel onder de aandacht willen komen, zo bleek, want geen van deze bedrijven deed in Nederland aangifte. Ook werkten ze nauwelijks mee aan de bewijsvoering.

Chats tussen ´detox´ en ´00´

De zaak tegen B. en C.K. komt in Nederland pas aan het rollen toen een systeembeheerder van het bedrijf Orit BV, waar B. als stagiair werkte, melding maakt van het ontvreemden van wachtwoorden. Dat meldt de systeembeheerder aan Sara, het wiskundig rekencentrum dat het Amsterdamse internetknooppunt Ams-ix, een van de druksten ter wereld, beheert. B. is tegen de systeembeheerder in een chat waarin hij de nickname 'detox' gebruikt uit de school geklapt over het stelen van gebruikersnamen en wachtwoorden. De systeembeheerder stuurt ook de IP-adressen van B. door aan Sara, dat het geval bij de politie meldt.

Dat moet ergens begin juli 2005 zijn geweest. Het internetverkeer van B. wordt dan afgetapt in het kader van een gerechtelijk vooronderzoek. Daarbij komt al snel aan het licht dat B. contact heeft met de latere medeverdachte C.K. Als nickname gebruikt B. 'detox' en C.K. heeft de schuilnaam '00'. De twee wisselen telefoonnummers en sms'jes uit waarin ze zichzelf verraden. Zo vertelt C.K. in een chat met B. dat hij respect had voor het detox-virus dat hij had geschreven, verwijzend naar een pagina bij virusbestrijder Symantec over het W32.detox-virus. C.K. downloadt ook een versie van het virus.

Toxbot straft Loudcash

Toxbot had volgens het OM destijds een botnet gemaakt van 50.000 tot 80.000 computers en ten tijde van de ontmanteling waren er inmiddels 'miljoenen computers' besmet. Toxbot maakt misbruik van een kwetsbaarheid in Windows en installeert zich als service onder een onopvallende naam. Vervolgens legt het verbinding met een IRC-server, zoals oxff.memzero.info. Vanaf dat IRC-kanaal kunnen B en C.K. commando's sturen naar de besmette computers. Een van de functies is volgens het OM een keylogger: alle toetsenaanslagen worden doorgestuurd naar het irc-kanaal waarop de verdachten actief waren.

B. mag dan Toxbot hebben geschreven, het is C.K. die van het botnet misbruik maakte tegen het adwarebedrijf 180Solutions/Loudcash. C.K. werkte voor 180Solutions, dat bekend staat om het verspreiden van adware. Hoe meer getoonde advertenties, hoe meer geld het 180Solutions oplevert. Daardoor looft het bedrijf internetters commissie uit per geïnstalleerde adware. C.K. is een van de mensen die hierop aast en hij heeft met het bedrijf contact onder de naam Bcuzz.

Loudcash stapte 1 augustus 2005 naar de FBI omdat C.K. haar zou afpersen. Als Bcuzz zegt hij in een chat met Loudcash dat hij nog geld te goed heeft, maar als hij als antwoord krijgt dat hij de voorwaarden heeft geschonden vanwege fake-installs en dus kan fluiten naar zijn centen, begint C.K. te dreigen. Nog geen vier minuten later wordt Loudcash getroffen door een Ddos-aanval die twee uur duurt. Meteen daarna stuurt C.K. het bericht 'it will stop now if you say i'll get the money'. Een minuut later stopt de Ddos-aanval weer.

De FBI verstrekt de chats tussen C.K. en Loudcash aan justitie in Nederland op 16 oktober 2005. Pas dan wordt er aan een arrestatie gewerkt. Dat is opmerkelijk omdat ook een 'aanzienlijk deel' van diezelfde chat al in augustus door de Nederlandse internettap is opgevangen doordat C.K. het chatgesprek met Loudcash weer in een chat met B. plakt, die toen al werd afgetapt. Moederbedrijf 180Solutions maakt overigens wel 3282 dollar over aan C.K..

Dat de verdachte ook echt het botnet en het virus gebruikte om duizenden ad- en spywareprogramma's automatisch te installeren, vonden de rechters niet overtuigend genoeg bewezen. Er ontbreken gevonden commando's hiertoe of bewijzen afkomstig van getroffen computers.

Mysterieuze Microsoft-tool

B. was met dezelfde praktijken als C.K. bezig, maar dan voor Mediatickets. Ook hij heeft per installatie recht op een vergoeding. Volgens het OM zette B. zijn botnet in om grote aantallen van de software van Mediatickets ongemerkt te installeren om zo meer geld op te strijken. Mediatickets zou hem ook echt 2.100 dollar hebben betaald, maar dat wordt niet aangetoond. Ook ging Justitie in dit geval weer de mist in met het bewijs over het installeren van de Mediaticket-spyware. De rechters vonden dat het OM onvoldoende had hard gemaakt dat B. Mediatickets had opgelicht door veel fake-installaties uit te voeren via de besmette computers op zijn botnet. Maar B. heeft wel aantoonbaar geprobeerd Mediatickets af te persen door een Ddos-aanval op het bedrijf uit te voeren of ermee te dreigen. Eerst tussen 1 en 5 september 2005 en daags erna nog een keer samen met C.K. Voor de eerste Ddos-aanval op Mediatickets kwam Justitie volgens de rechters weer met te weinig bewijs. De vermeende tweede aanval van 7 september werd wel bewezen, met dank aan Microsoft dat een speciaal programma inzette waarmee commando's voor botnets werden opgevangen.

Dit Microsoft-programma is de mysterieuze Botnet Monitoring Analysis Tool. Met de BMAT schijnt Microsoft malware en botnets te analyseren. Op een van de servers van het botnet, 0x80.online-secured.com gaf C.K. allerlei commando's, bleek uit de informatie van BMAT. B. werkte bij die Ddos samen met C.K. die commando's voor het platleggen van de downloadserver van Mediatickets in voerde in het IRC-kanaal.

Prada's en PSP's

B. was in juli 2005 ook nog in de weer met de trojan Wayphisher. Deze leidt internetters naar fake websites voor het invoeren inloggegevens van onder meer Paypal en eBay. Samen met een derde, een internetter met de nickname Sox, heeft B. deze trojan gemaakt en in zijn botnet uitgezet. B. stuurde bestanden met deel van de programmacode van Waypisher naar Sox nog voordat de trojan op internet werd ontdekt door de antivirusbedrijven.

In een afgetapt telefoongesprek versprak B. zichzelf hier ook over. Ook zou B Waypisher tijdens getapt internetverkeer naar een server hebben gestuurd. Onder meer de server van de universiteit van Arlington is met Wayphisher besmet geraakt. Ook wisselen Sox en B. nepwebpagina's uit van banken die bij de phishingaanvallen werden gebruikt.

In totaal 324 Paypal-inloggegevens zijn gevonden op de computer van B in een bestand met de naam paypal.txt. Ook maakte hij meerdere eBay-accounts buit. Hij heeft ze ook gebruikt voor het bestellen van producten op internet. B koopt onder meer speakers van een Duitser en dure Prada-schoenen bij het Turijnse bedrijf Droplet op naam van en het eBay account van een slachtoffer. Ook schaft hij Playstation portables en spellen als Ridge Racer aan, evenals een videokaart. En een Sony digitale camera, die hij verkoopt aan zijn broer.

Het is volgens de rechter aan 'tijdig ingrijpen van politie en justitie te danken dat het in deze zaak het misbruik van inloggegevens beperkt is gebleven'. Ondanks dat er bijna twee maanden zat tussen de eerste gevallen van misbruik en B's arrestatie. Zijn advocaat, J. van Halderen, omschreef het in zijn pleidooi als 'een spannend jongensboek'.

De rechters zijn dat in hun vonnis niet met hem eens. "Hij moet worden beschouwd als een intelligente jongeman die bewust misbruik maakt van zijn kennis op computergebied. (..) Met zijn acties wordt grote inbreuk gemaakt op het toenemende economische belang van ict en het grote maatschappelijke belang van internet."

'Technische bewijzen mager'

Officier van Justitie W. Gerretschen las het pleidooi voor tijdens de zitting op 16 januari 2007, maar was niet gedurende het hele proces de zaaksofficier. Gerretschen vergeleek de verspreiding van de virussen met woninginbraken en oplichting via internet met winkeldiefstal. Advocaten JF. van Halderen van B. en B. Kaarls van C.K. voerden allebei aan dat er geen enkele aangifte in het strafdossier zat. De rechter vond dit ook niet nodig.

Ook stelden Van Halderen en Kaarls dat het bewijs louter technisch was, vergaard met internettaps en door analyse van in beslag genomen computers van de verdachten zelf, maar niet die van computers in het botnet. "Hoewel er IP-adressen zijn gevonden zijn de gebruikers niet benaderd. Er is verzuimd ook maar een kopie over te leggen van de harde schijven van pc's behorende bij die IP-adressen," stelt Van Halderen.

Vooral zijn pleidooi zit vol met technische details, over kwetsbaarheden in Windows, poortnummers, niet-werkende commando's. Daarmee probeert de raadsman - vergeefs - de aanklacht over het inbreken in computers te weerleggen. "Niemand heeft B. voor enig open achterdeur in Windows zien staan, laat staan hem naar binnen zien lopen."

Kaarls voerde een soortgelijke argumentatie op maar met minder details: "Tapverslagen van chatgesprekken vormen geen bewijs dat er sprake is van een feitelijke overtreding. (Ze geven) een indicatie van wat zich zou kunnen afspelen - niets meer (..) Niet is vast komen te staan dat clietn enige werkbaar en uitvoer commando of input heeft gegeven," aldus Kaarls. Tegenover Netkwesties verklaart hij: "Wat je ziet, hoeft niet de waarheid te zijn."

Bovendien zijn het volgens hem gebruikers van computers zelf geweest die de ad- of spyware van 180Solutions/Loudcash waarvoor C.K. per install betaald kreeg installeerden. "De gebruikers van de pc kan ook weigeren." Op dit punt scoorden de advocaten een succesje. Voor het installeren van ad- en spyware werden de verdachten vrijgesproken bij gebrek aan bewijs.

De rechter sprak de twee overigens ook vrij van het hacken van de siteWorld of Golf. B. zou door een lek op die site gevoelige gegevens van klanten hebben gekopieerd, maar hiervan ontbreken voldoende sporen volgens de rechters.

Testopstelling met verouderde Windows

Beide advocaten hekelden een testopstelling die de recherche gebruikte om de werking van de toxbot aan te tonen en na te bootsen. Die testomgeving zou gebruik hebben gemaakt van een erg verouderde versie van Windows XP. Van Halderen: "Het ging op de eerste versie die op de markt was. De testopstelling was niet voorzien van een firewall. (..) Dit geeft geen reëel beeld."

Ook Kaarls vond dat de testopstelling niet deugde. "Ze werkten met het eerste servicepack. Dat gebruikt bijna niemand. Dat heeft het OM niet vermeld in het verslag." Verder vertelt Kaarls Netkwesties dat volgens hem de rechercheurs ook de domeinnaaminstellingen van bepaalde irc-servers ongevraagd hebben gewijzigd. "Ze hebben op eigen houtje dns-instellingen van domeinen van anderen aangepast", beweert Kaarls. In de uitspraak bleef dit punt verder onvermeld.

Kaarls vindt het vreemd dat in het strafdossier nogal wat dingen ontbreken: aangiften, verklaringen van gedupeerden, gemelde klachten, verklaring van iemand die zegt dat er zonder toestemming is ingebroken in zijn computer en informatie over een feitelijke overdacht van gegevens tussen een computer van een geïnfecteerde en die van de hacker. Ook merkwaardig vindt hij is dat de betrokken adware-bedrijven vrijwel geen medewerking verlenen aan de strafzaak

Hoe zeer het technische bewijs misschien op details kort door de bocht was, het waren de verdachten zelf die zichzelf telkens een slechte dienst bewezen door tijdens chats hun acties te beschrijven of zelfs commando's te plakken die ze hadden gebruikt of wilden gebruiken. Op basis van die 'gesprekken' in combinatie met de voorvallen rond dezelfde tijdstippen was het volgens de rechter voldoende aannemelijk dat het toch echt de twee heren die achter de knoppen zaten.

'Afsluiten voor gevoelens'

B. werd schuldig bevonden aan flessentrekkerij door het bestellen van de Prada-schoenen, gadgets en games met gegevens en op kosten van derden. C.K. had zich hieraan niet schuldig gemaakt, maar werd wel ook veroordeeld voor het illegaal aftappen van stroom van Eneco. (Vier kleinere verdachten in deze zaak moeten later voor de rechter verschijnen.)

C.K. was al eens veroordeeld voor een vermogensdelict en vernieling. Volgens rapporten van de reclassering 'kan hij lange tijd ergens in op gaan en de realiteit om zich heen verliezen'. "Hij sluit zich af voor zijn gevoelens," stelt de reclassering. C.K. zei tijdens de zitting de draad weer te willen oppakken. Hij sleutelt aan auto's, maar heeft geen vast werk. Kaarls omschrijft zijn cliënt als een 'teruggetrokken iemand'.

B. gaat vanaf februari weer een opleiding volgen. Van Halderen spreekt van 'een leer-werktraject'. Ondanks dat de reclassering bij B. geen bijzonderheden ziet, is de rechtbank er ' bepaald niet gerust op' dat hij 'het verwerpelijke van zijn handelen inziet'.

In de zaak werkten naast het landelijk parket ook de Nationale Recherche, het National High Tech Crime Center (NHTCC), Govcert.nl en enkele internetproviders waaronder Xs4all en Fiberworld same. Het National High Tech Crime Center werd niet lang na dit onderzoek opgedoekt.

Zowel de advocaten van de verdachten als het Openbaar Ministerie zeggen nog niet te hebben beslist in hoger beroep te gaan tegen de uitspraak. Ze hebben nog tot 13 februari 2007 om dat te beslissen. Op basis van gesprekken met de advocaten lijkt de kans groot dat de twee hackers eieren voor hun geld kiezen. Woordvoerder Desiree Leppens van het landelijk parket zegt dat het OM de knoop richting de dertiende pas doorhakt.

Les over aanpak botnet?

Wat de grootste hackerszaak van Nederland werd genoemd, is achteraf weinig spectaculair gebleken. Alleen het aantal computers dat de twee controleerden was dat. Maar een grote buit of enorme schade maakten B. en C.K. niet bepaald. Dat gebeurde onlangs wel in Zweden waar hackers bijna 900.000 euro buitmaakten bij een online roof van een bank. Ook daarbij werd er gebruikgemaakt van trojaanse paarden in combinatie met keyloggers. Maar in deze zaak ging het om relatief kleine bedragen, waarmee de botnetbeheerders vooral dingen van hun verlanglijstjes kochten. Games, gadgets en Prada-schoenen. Het lijkt meer op hacken om stoer te willen zijn.

Maar de uitspraak toont aan hoe lastig het is om technische bewijzen te vergaren rond botnets. Moeilijk achteraf aan te tonen lijkt wat er op besmette computers gebeurt en naar aanleiding van welk commando, en van wie afkomstig. Politie en Justitie hadden geluk dat beide verdachten zo loslippig waren op de afgetapte chats. Een les voor de toekomst, want nu vervielen enkele aanklachten over het installeren van ad- of spyware en het uitvoeren van één van de ddos-aanvallen bij gebrek aan voldoende bewijs.

Meer opsporingsmiddelen voor dit soort zaken komen binnen een jaar ter beschikking van justitie en politie. Enerzijds zijn Nederlandse internetaanbieders wettelijk verplicht vanaf september hun klantendatabase elke 24 uur te uploaden naar het CIOT, het Centraal Informatiepunt Opsporing Telecom. Dat houdt in dat veel opsporingsambtenaren straks vanaf hun werkcomputers kunnen zoeken wie er achter een vast ip-adres of Nederlands mailadres zit.

Daarnaast komt de invoering van de bewaarplicht van historische telecom- en internetgegevens steeds dichterbij. Waarschijnlijk wordt deze over ongeveer een jaar opgenomen in de Nederlandse wet. Het kabinet heeft in een eerste wetsvoorstel voor invoering van de bewaarplicht voorgesteld dat providers de verkeersgegevens moeten bewaren voor een periode van 18 maanden. Toevallig ongeveer de tijd tussen het moment dat B. en C.K. in het vizier van justitie kwamen en het moment waarop ze voor de rechter verschenen.

Gepubliceerd

1 feb 2007
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0