De afgelopen weken zijn er verschillende beweringen over de 19 jarige Rotterdamse ‘Superhacker‘ / Ibn Ghaldoun hacker via de media naar buiten gekomen. Deze beweringen behoeven nuance, en ik heb mij persoonlijk behoorlijk gestoord aan de manier waarop de ‘hacker’ in het nieuws kwam. Ik zal de gedane beweringen proberen te nuanceren danwel te corrigeren of te ontkrachten. Dit is wenselijk omdat er nu via de media een beeld word geschetst dat niet op de werkelijkheid berust.
Allereerst wil ik aangeven dat ik te allen tijde een toeschouwer ben. Ik heb het dossier niet gelezen en zal dus nooit écht kunnen oordelen, deze taak laat ik aan de uitvoerders van onze rechterlijke macht over. Ik beschouw mijzelf echter wel als ervaringsdeskundige betreffende dit onderwerp, nadat ik als ex-gedetineerde hacker getransformeerd ben tot succesvol ondernemer bij het digitaal forensisch onderzoeksbureau Digital-Investigation.eu. Daarnaast heb ik enkele bij dit onderzoek betrokken personen persoonlijk gesproken.
De door deze tiener gebruikte software is een zogenaamde ‘Remote Access Trojan’. De ‘Remote Access Trojans’ voorzien de gebruiker van kant en klare software om potentiële slachtoffers te infecteren. Hierbij worden allerlei ‘trucjes’ gebruikt om slachtoffers om te tuin te leiden. Al deze trucjes zijn voor de gebruiker van de software met enkele muisklikken benaderbaar. De software heeft zelf functionaliteit ingebouwd welke er voor zorgt dat de malware niet door Anti-Virus software wordt herkend, en ze is hier succesvol in. Om een slachtoffer te hacken is er vervolgens nog een laatste stap nodig, deze stap kan geclassificeerd worden als ‘social engineering’. Je moet als ‘hacker’ je slachtoffer zien te verleiden tot het klikken op bijvoorbeeld een link of het openen van een bijlage. Zodra het slachtoffer deze handeling heeft uitgevoerd word de computer geïnfecteerd en heeft de ‘hacker’ volledige controle over het slachtoffer. Via 2 muisklikken is het nu mogelijk om de webcam te activeren en met het slachtoffer mee te kijken. In dit filmpje van NOS op 3 laat ik kort zien hoe eenvoudig het is:
Wat ik hiermee wil vertellen is dat deze methode van ‘hacken’ dus slechts enkele muisklikken en wat vernuftige verleidingstactieken vereist. Nothing more. Hier wordt dus op geen enkele manier gebruik gemaakt van diepgaande technische kennis over de aan te vallen doelen. Sterker nog: er is geen enkele technische kennis benodigd, anders dan begrijpen wat een IP adres is, om deze aanval succesvol uit te kunnen voeren.
Veel jonge hackertjes beginnen met hacken op een manier zoals deze hacker ook deed. Wat men vooral bij deze jongens ziet is dat zij geïnteresseerd zijn in het spelen met de techniek. Jongens welke ik zou kwalificeren als ‘echte’ hackers zouden bijvoorbeeld na het hacken van een systeem kijken of ze het netwerk waarin het systeem zich bevind verder kunnen hacken, om zo uiteindelijk alle systemen binnen het netwerk over te kunnen nemen. Dit gedrag is niet terug te vinden bij de Ibn Ghaldoun hacker. Wat je bij de Ibn Ghaldoun hacker vooral lijkt te zien is dat deze persoon geïnteresseerd is in het uitoefenen van macht over zijn slachtoffers. Hij verzamelde data van hen welke hij mogelijk op een later moment tegen hen zou kunnen gebruiken. Zoals bijvoorbeeld door het plaatsen van naaktfotos op de facebook-accounts van zijn slachtoffers.
Volgens de advocaat van de jongen, Jaap Spigt, hebben meerdere bedrijven de hacker een ‘vette baan‘ aangeboden. Persoonlijk denk ik dat deze bewering volledig uit de grote duim is gezogen. Geen enkel zichzelf respecterend bedrijf dat zich bezighoud met ‘de beveiliging van software‘ zal deze hacker direct een baan aanbieden, zeker niet in deze fase van het strafproces. Er zijn mij wel eens verhalen ter oren gekomen dat bepaalde gearresteerde hackers een baan bij een gemeente hebben aangeboden gekregen. Als dit al waar is heeft dit betrekking op een overijverige burgermeester die een ongefundeerde, ondoordachte, emotionele aanbieding heeft gedaan die hij wellicht de volgende ochtend alweer heeft ingetrokken. Een échte serieuze aanbieding kan het nooit geweest zijn, een mooi gebaar natuurlijk wel.
Wie denkt dat veroordeelde hackers eenvoudig aan de bak komen heeft het mis. Ik, als veroordeeld hacker, maak nog wel eens mee dat wij (Digital Investigation) in een vergevorderd stadium van een project zijn waarna de opdrachtgever via andere kanalen van mijn veroordeling verneemt en vervolgens het hele project stop zet om naar de concurrent te vertrekken. Geen enkel bedrijf staat te springen om personeel dat de klanten wegjaagt.
Volgens advocaat Jaap Spigt maakte zijn client gebruik van cookies, vervolgens beweert hij dat de NSA ook cookies gebruikt om mensen online te volgen en hun computers te kunnen hacken. Ik vermoed zelf dat hier ergens een vertaalslag heeft gefaald tussen client en advocaat. Mogelijk heeft de client aan zijn advocaat verteld dat hij door middel van cookies sommige profielen kon hacken, waarna hij vervolgens het een en ander over de NSA verteld waarin hij probeerde duidelijk te maken dat de NSA gelijksoortige tactieken gebruikt. Bij de communicatie tussen advocaat en journalist zal deze context verloren zijn gegaan. Wat ik in ieder geval kan vertellen is dat het hacken van 2000 willekeurige Windows computers je nog geen NSA maakt, de vergelijking is dan ook volledig irrelevant.
Als absoluut toppunt van ongeloofwaardigheid beweerde de Ibn Ghaldoun hacker in de rechtszaal dat ‘hackers al nieuwe manieren hebben om het “afplakken van een webcam te omzeilen”. Enfin, ik denk dat ik niet hoef uit te leggen dat dit onzin is.
Als we bovengenoemde samenvatten zien we een ‘hacker’ die gebruik maakt van eenvoudige tools die weinig technische kennis vereisen. De tools werken op een zeer beperkte manier, en vereisen gebruikersinteractie voordat ze überhaupt kunnen werken. Het doelwit moet dus zelf (onbewust) meewerken aan de hack.
De reden waarom de hacker met deze tools speelde lijkt niet, zoals gebruikelijk bij jonge hackers, het spelen met techniek te zijn. Deze hacker lijkt een focus te hebben op macht, die hij over zijn slachtoffers kon oefenen. Daarnaast heeft de hacker dermate veel ongeloofwaardige uitlatingen gedaan dat er ernstige vragen gesteld mogen worden bij zijn algehele geloofwaardigheid.