Waarom blijft cybercrime in de meeste gevallen onbestraft?

  1. 22 dec 2015
  2. 0 reacties

In de media is de 'hacker' meestal een ontspoorde tiener, hooguit vroeg in de twintig, die vanuit zijn zolderkamer de computersystemen van grote bedrijven kraakt. Zulke mensen bestaan zonder twijfel. Maar is dit ook de realiteit? Martijn Nielen, Senior Sales Engineer en Certified Ethical Hacker bij WatchGuard Technologies, geeft meer uitleg.

Enkele maanden geleden werd TalkTalk (Britse aanbieder van telefonie en internet) slachtoffer van een poging tot afpersing. Er moest £80.000 in bitcoins op tafel komen, anders zou gevoelige informatie over tienduizenden klanten openbaar worden gemaakt. Zoals nummers van betaalkaarten, adressen, telefoonnummers en geboortedata - genoeg voor identiteitsfraude en andere gerichte oplichterij.

Sindsdien arresteerde de Britse politie vier mogelijke daders, met leeftijden variërend van 15 tot 20 jaar. In kranten werd de 15-jarige beschreven als een verlegen ADHD-patiënt die zelden zijn slaapkamer verlaat.

Pakkans vertekent het beeld

Waarom denken zoveel mensen bij 'hacker' aan zulke jongens? Ze komen relatief vaak in beeld doordat ze makkelijk te pakken zijn. Maar dat zegt niets over criminele hackers in het algemeen. Verreweg het grootste deel van de cybercriminelen heeft totaal geen last van de politie. De Britse politie scoort gemiddeld één veroordeling per maand, op grond van de computer misuse act. Dat betekent een pakkans van ruwweg 1 op 10.000, of 0,01 procent.

De Amerikaanse politie lijkt het nog aanzienlijk slechter te doen. Volgens een onderzoek van Jumio leidde in 2010 slechts 0,0019 procent van de cybercriminaliteit in de VS tot een veroordeling. Jumio rapporteert ook de leeftijd van de gemiddelde cybercrimineel. 71 procent is meer dan 25 jaar oud. En er zijn heel wat vrouwen bij: 24 procent van het totaal. Ze blijven vrijwel onzichtbaar, net als die grote meerderheid van oudere cybercriminelen.

Zwarte hoed, witte hoed

In de wereld van mensen die programmeren binnen de grenzen van de wet is een hacker iemand die uitstekend de weg weet in computersystemen. Iemand die creatief is en doorpakt, de machine altijd kan laten doen wat hij of zij wil. Het kraken van een zorgvuldig beveiligd systeem is een heldere en ook wel nuttige manier om zulke competenties te bewijzen. Vandaar 'white hat' hacking-wedstrijden zoals Pwn2Own.

Bij deze wedstrijd kraakte de Zuid-Koreaanse hacker Jung Hoon Lee in maart dit jaar de meest recente versies van Internet Explorer, Chrome en Safari zodanig dat hij vrije toegang kreeg tot de Windows- en Mac OS X-computers waar de browsers op draaiden. Zijn prestatie werd beloond met 225.000 dollar aan prijzengeld. "Met andere woorden, lokihardt (Jung Hoon Lee) verdiende ongeveer $916 per seconde met zijn demonstratie van twee minuten," schreef Dustin Childs in het blog van sponsor HP Security Research.

Knap gedaan. Maar hoe anders zijn de 'black hats' precies? Ook zij worden in eigen kring gewaardeerd om hun talent en kennis. Vaak werken ze in goed georganiseerd, zakelijk verband: investeerders, management, hackers die software ontwikkelen en een commerciële afdeling die producten verkoopt en verhuurt, inclusief technische ondersteuning.

Klinkt heel normaal, afgezien van de ethische kwestie. En het internationale karakter van internet maakt ook dat verschil onzeker.

Crimineel - of held?

Jevgeni Bogatsjov is in westerse landen berucht vanwege zijn betrokkenheid bij het opvallend succesvolle 'botnet' Gameover Zeus. In februari 2015 zette de FBI een prijs van drie miljoen dollar op zijn hoofd, nadat verzoeken om samenwerking met de Russische politie niets hadden opgeleverd. Eerder al gingen journalisten van de Engelse krant The Telegraph op zoek naar Bogatsjov en vonden zijn appartement in Anapa, aan de Zwarte Zee. Hij was niet thuis.

Zijn buren beschreven hem als een rustige, vriendelijke man. Toen ze hoorden dat de FBI hem zocht, reageerden ze bewonderend: "Wat een geweldige vent. Als je kijkt naar wat de Amerikanen andere mensen aandoen, dan geeft Bogatsjov ze hun verdiende loon." In het politiebureau, 200 meter verderop in de straat, gaat een agent nog wat verder: "Ik zou hem een medaille geven."

Er is serieus onderzoek gedaan naar eventuele verschillen tussen hackers en normale mensen. Bernadette Schell en collega's verspreidden tien jaar lang vragenlijsten onder bezoekers van grote jaarlijkse hacker-congressen zoals Defcon en Black Hat. Hun conclusie komt erop neer dat hackers niet significant verschillen van mensen met andere technische en wetenschappelijke beroepen.

Bedrijven huren graag een 'black hat'

Ook het psychologische verschil tussen criminele en fatsoenlijke hackers kan minimaal zijn. Het gaat immers om fraude, niet om geweld. Er komt zelfs geen fysieke inbraak aan te pas. Dat maakt succesvolle criminele hackers op het eerste gezicht heel aantrekkelijk voor het bedrijfsleven. Geef ze een nette baan en het worden nette mensen, is het idee.

Onderzoek van accountant KPMG laat zien dat ruwweg de helft van de in Engeland gevestigde ondernemingen zou overwegen om een hacker met strafblad in dienst te nemen - om de beveiliging van eigen systemen te verbeteren. In de VS zijn contracten met beruchte, min of meer criminele hackers al heel gebruikelijk. George Hotz (bekend als Geohot) kraakte als eerste de iPhone en kreeg het in 2011 aan de stok met Sony, omdat hij de cryptografische sleutels van de Playstation-3 op zijn website had gezet. Het kwam tot een rechtszaak; Hotz schikte en werd daarna achtereenvolgens ingehuurd door Facebook, Google en Vicarious.

Maar zijn het allemaal hackers

Jung Hoon Lee, Jevgeni Bogatsjov, George Hotz en een 15-jarige ADHD-patiënt. De een is een doorgewinterde afperser en fraudeur, de ander een genie, de derde heeft niets dan hulp nodig en nummer vier verzon eigen wetten als wat er was hem niet beviel.

Het internet veroorzaakt generaties van heel diverse transnationale burgers waar de samenleving nog geen raad mee weet. Ze bij elkaar vegen als 'hackers' helpt niet bij het vinden van antwoorden op vragen zoals:
Wie passen goed in een fatsoenlijk bedrijf?
Hoe kunnen de wetgeving voor internet en de handhaving worden verbeterd om de een te vangen en de ander op de rails te houden?

Zij en hun wereld zijn bijna ongrijpbaar, terwijl hun macht toeneemt. Het is tijd voor afscheid van stereotypes en vooroordelen. Er is meer aandacht nodig voor wat 'hackers' motiveert, zodat ze meer sociale grond onder de voeten krijgen - en om de echte cybercriminelen vaker te kunnen vangen.

Martijn Nielen, Senior Sales Engineer en Certified Ethical Hacker bij WatchGuard Technologies