Weten & Tech

De 17-jarige übercrimineel en zijn KPN-hack

31-03-2012 12:00

17 jaar is hij. En minimaal 17 dagen cel heeft hij op zijn naam staan. Dat is niet niets voor een minderjarige. Kijkende naar zijn reeds opgelegde celstraf hebben we hier te maken met een groot crimineel. Een jongen die ervoor kon zorgen dat klanten van KPN het noodnummer 112 niet meer konden bellen. Een jongen die bij de gegevens van alle KPN klanten kon. Een jongen die mogelijk de nationale veiligheid in gevaar heeft gebracht. Een jongen die verantwoordelijk was voor de hoogste alarm fase bij KPN ooit, Code Rood.Het was een jongen die van geen ophouden wist, hij ging maar dieper het netwerk in, dieper en dieper. Het begon met 1 server, maar uiteindelijk wist hij honderden servers te hacken. Op al deze servers had hij zichzelf de hoogste beheerdersrechten toegekend. Als 17-jarige controle hebben over het bedrijf KPN, controle hebben over een groot gedeelte van Nederland. Sterker nog, de levens van mensen die met spoed 112 willen bellen, liggen in jouw handen, jij kunt bepalen of ze mogen bellen of niet. Wat een machtig gevoel moet deze jongen gehad hebben, en dat op die leeftijd.

Een kind kan de hack doen
Vooropgesteld moet worden dat deze jongen de wet overtreden heeft en hij hiervoor gestraft dient te worden, zo werkt onze rechtsstaat nu eenmaal. Maar laten we niet vergeten dat als een kind dit soort systemen binnen kan dringen, je je toch wel af moet gaan vragen wat een volwassene dan wel niet kan. Om even verder te gaan, wat kan een groep hacktivisten dan wel niet, wat kan een groep ‘echte’ hackers dan wel niet, een terrorist? Een insider? Of … Iran?

Zelfs Officier van Justitie Lodewijk van Zwieten zegt in het NOS journaal dat men nog niet achter het motief van de jongen is. Na intensief verhoor van een minderjarige verdachte is men er dus nog steeds niet in geslaagd om zijn beweegredenen op tafel te krijgen. Is het misschien een idee om hem te gaan waterboarden? Bij moordzaken word je zonder motief niet eens als verdachte aangemerkt. Dit beseffende kunnen we wel stellen dat we te maken hebben met een jongen met een passie. Hij wil hacken, meer en meer. En hij doet dat goddomme nog goed ook! Het is de pen-testers blijkbaar niet gelukt deze pijnplekken op tafel te leggen. Deze 17-jarige had een paar dagen nodig om het complete netwerk naar zijn hand te zetten. Alle strikte security policies en audits van KPN ten spijt.

ns1.kpn.net op IRC
Zijn wij nu allemaal de volwassen moraalridders die onze pubertijd ontgroeid zijn en wel even van dit pubertje kunnen eisen dat hij zich ethisch gedraagt en een dergelijke hack keurig gaat melden? Kunnen we dat nou echt eisen van een jochie waarbij sinds kort allemaal hormonen door zijn aderen gieren? Wat valt er nu te winnen voor een puber om zo’n hack te melden? Het melden van een lek heeft alleen maar nadelen. Een aangifte aan je broek is niet zeldzaam, eerder aannemelijk. Je zult er geen cent mee verdienen, dat is het de bedrijven niet waard. Er is geen enkele manier om aan je vrienden te bewijzen wat je gedaan hebt, downplayen is de regel. Je bent al je servers kwijt. Kortom, je staat weer met compleet lege handen. Wat wel mooi is als puber: de ns1.kpn.net jouw favoriete IRC-kanaal te laten joinen. Wedden dat je chat matties even twee keer slikken als deze reus van een machine het chat kanaal joint? Zij zullen je nu ineens met heel andere ogen bekijken. Voor een nerd is het in ieder geval een stuk stoerder dan met je opgevoerde scooter het schoolplein op te rijden, dat vol staat met jochies waar je eigenlijk sowieso al geen klik mee had.

Nu we toch over volwassenheid zijn begonnen, in hoeverre kunnen we KPN als volwassen beschouwen? Is KPN niet een beetje de puber binnen ICT-land? Met hun software op cruciale systemen die niet geüpdate wordt. Cruciale systemen die zelfs een wettelijke verplichting hebben hun diensten te allen tijde uit te voeren. En zelfs die systemen weet men niet up to date te houden? Kunnen we dan niet gewoon spreken van een kleutertje? Iemand die het gehele IT-model niet snapt? Zouden ze wel eens van een penetratietest gehoord hebben? Intrusion detection?  of misschien zelfs gewoon firewalling? Of heeft KPN dat niet nodig? Zijn zij dat volwassen bedrijf die al dit soort maatregelen niet nodig heeft?

Zorgplicht en de wet
Op wie worden we boos wanneer een arts weigert een comazuipende tiener te helpen? Artsen hebben simpelweg zorgplicht. En een arts die een patiënt aan zijn lot overlaat, zal worden vervolgd. De tiener kan niets kwalijk worden genomen, want comazuipen hoort er nu eenmaal bij. Een systeembeheerder die systemen beheert waarvoor wettelijke richtlijnen gelden, hoeft zich nergens zorgen om te maken. Immers: alles is via de wet geregeld. Waarom zou je je überhaupt druk maken over updaten op het moment dat binnen dringen sowieso strafbaar is. Sterker nog, we verhalen de schade gewoon direct op deze knaap. Hij is immers de persoon die de wet heeft overtreden, niet ik, toch?

Het bedrijfje DigiNotar kennen we allemaal nog wel. De club die ervoor gezorgd heeft dat de Iraanse overheid met al zijn burgers mee kon gluren, de club die op die manier mogelijk bloed aan zijn handen heeft. Gelukkig hebben we de cijfers niet, maar een arts die zoveel slachtoffers maakt, zal direct worden aangeklaagd voor grove nalatigheid. Daar zal niemand over twijfelen. Bij DigiNotar komt er slechts een keurig rapport waaruit blijkt dat er grove nalatigheid betreffende de beveiliging is geweest. En daar laten we het dan maar weer bij.

Tot 900.000 botnet-pc’s in Nederland
Op dit moment maakt 5  tot 10 procent van de Nederlandse pc’s deel uit van een botnet. Dat zijn 450.000 tot 900.000 pc’s. Afgelopen jaar werd er in Nederland voor 35 miljoen euro van online bankrekeningen gestolen. Onze 17-jarige knaap had een forum opgezet voor de handel in creditcards, maar denken we nou echt dat deze jongen verantwoordelijk is voor de distributie richting de money mules? Is het realistisch om te denken dat een 17-jarige weet hoe je miljoenen euro’s moet witwassen? Is er überhaupt iemand die denkt dat deze persoon ooit succesvol hierin was geworden? Een ding is in ieder geval zeker, in de cel leer je echte criminelen kennen. En eenmaal buiten de gevangenis weet men je helemaal direct te vinden. Als toefje op de taart leert onze politie je dat opscheppen niet veel goeds brengt, en dat je je truecrypt wachtwoord voortaan niet moet afgeven tenzij je je systeem met plausible deniability hebt ingericht. Gelukkig ben je bijna 18 en heb je weer snel een kans om het nu wel goed te doen.

Rickey Gevers is gespecialiseerd in cybercrime blogt zelf hier.