|
Afdrukken Rechtenforum.nl -> Informatie en technologie |
Geplaatst: ma 11 feb 2008 16:14—
|
Het zal jullie vast niet ontgaan zijn dat de bankaire wereld momenteel grote overlast ervaart van phishers. Vroeger werden vertrouwelijke (bank)gegevens nog afgetroggeld via schijnbaar amateuristische nep e-mailtjes, maar tegenwoordig moet je veel verstand hebben van IT security wil je helemaal zeker zijn dat je gegevens veilig worden gecommuniceerd.
Door middel van technisch zeer vernuftige malware (meestal zogenaamde man-in-the-browser trojans) worden mensen naar websites van derde partijen omgeleid, waar men vervolgens argeloos slachtoffer wordt. Daadwerkelijke opsporing van de criminelen die hier achter zitten is een zware kluif. Ze zitten meestal in het buitenland (of werken via servers die daar staan) en de politie geeft er weinig prioriteit aan. Het interessante is dat het praktisch gezien weinig moeite kost om de problemen snel uit de wereld te helpen. Zo kan een goedgerichte dDoS aanval de malafide server in no time offline halen. Het grote nadeel hiervan is echter dat men in dit geval strafbaar is (op grond van art. 138b Sr). Een andere optie is het (laten) hacken van de boosdoenende server maar ook dan is er sprake van een strafbaar feit (o.a. 138a Sr). Met de steeds verder toenemende schade door phishing zou ik mij kunnen indenken dat banken de overweging gaan maken of het begaan van deze strafbare feiten kunnen opwegen tegen het onschadelijk maken van phishing aanvallen. Het valt nog te bezien of men daadwerkelijk vervolgd wordt en de boete die er op staat valt in het niet bij de schade die de phishers anders veroorzaken. Een heel lang verhaal om de volgende twee vragen te introduceren: - Hoe staat jullie tegenover deze vorm van hacken? (oftewel, hacken om schade te voorkomen) - Onder welk wetsartikel valt phishing? Ben erg benieuwd naar jullie mening. |
Geplaatst: ma 11 feb 2008 16:43—
|
Dit riekt naar eigenrichting, en naast juridische bezwaren zijn er hele praktische: wat als je de verkeerde site op de korrel neemt? Dan ligt ineens een legitieme Antiguaanse offshore bank eruit. Zie bijvoorbeeld de recente DDoS-aanval op Scientology waarbij een Nederlandse school per ongeluk op de korrel ging.
De juridische kant van phishing wordt uitgebreid geanalyseerd in De phish wordt duur betaald. Arnoud |
Geplaatst: ma 11 feb 2008 16:56—
|
Daar heb je absoluut gelijk in Arnoud, ik ontken ook zeker niet dat er hele grote haken en ogen aan zitten. Aan de andere kant heeft men vanuit de praktijk te maken met zeer ernstige schade die in theorie met weinig geld en moeite beperkt kan worden.
Ik ben geneigd de analogie te leggen met de Peter R de Vries aanpak, die ook gebruik maakte van middelen die wellicht niet helemaal brandschoon zijn maar wel een praktische oplossing voor het probleem boden. Ik kan me ook nog een andere aanpak voorstellen: - Een bank constateert een nieuwe phishing aanval en al snel is duidelijk waar de server staat waar het probleem zich rond centreert. - De bank sommeert de hostingpartij om de kwalijke site per direct te verwijderen. - Wanneer de host niet regeert (wat bij 99% van de gevallen zo is) neemt de bank het heft in eigen handen en laat de server offline halen dmv een dDos. De schade voor derde partijen zal blijven, maar er zijn situaties denkbaar waarin de bank deze voor lief neemt. In werkelijkheid is in het gros van de gevallen de host een dubieuze russische partij die deksels goed weet wat er aan de hand is. Dat maakt de tegenstelling wet vs. praktijk het meest interessant. |
Geplaatst: ma 11 feb 2008 17:37—
|
Een DDoS-aanval kun je bijna nooit beperken tot 1 webhost. In veel gevallen tref je iedereen op diezelfde server (virtual hosting) of zelfs op hetzelfde netwerk/dezelfde provider. Een DDoS-aanval veroorzaakt ontzettend veel dataverkeer, en dat stoort alle klanten van die provider tenzij zijn netwerk daar goed op is voorbereid.
Daar komt nog bij dat je zo tegenaanvallen uitlokt, waar al helemaal niemand op zit te wachten. "Kom, laten we de site van de Russische maffia eens platleggen" lijkt me niet zo'n goed idee. Maar ik ben principieel tegen dit soort vigilante-acties. Je kunt niet zomaar besluiten 'die site is een dubieuze Russische partij dus schiet maar neer'. Waarom mogen banken dat bij phishers en ik niet bij spammers? Bij de PRdV-actie zie je precies het probleem: iedereen weet nu zeker dat Joran "het gedaan" heeft, terwijl nog niet eens vaststaat wat hij nu gedaan heeft. Laat staan of hij het wel was. Zat hij stoer te doen? Wist hij van de camera's en meende hij zo PRdV een loer te draaien? Neemt hij de schuld voor iemand anders op zich? Verdraait hij de feiten om zo slechts veroordeeld te worden voor "wegmaken van een lijk"? Arnoud |
Geplaatst: ma 11 feb 2008 17:57—
Dan is het aan politie/justitie om die maatregelen te nemen. |
Geplaatst: ma 11 feb 2008 18:02—
Die maatregelen komen neer op een precisiebombardement op de Russische site die de phishing zou ondernemen. Heet zoiets niet een oorlogsdaad? Arnoud |
Geplaatst: ma 11 feb 2008 18:09—
|
Ook met dat antwoord kan ik het helemaal eens zijn Arnoud. Ik constateer echter wel een lacune in de handhaving. Natuurlijk is het aan politie/justitie om hier actie tegen te ondernemen, alleen in feite gebeurt dit niet. Ik spreek uit ervaring als ik zeg dat er weinig tot geen moeite wordt gedaan om deze vorm van internetcriminaliteit aan te pakken. Dat is nog niet eens zo gek, aangezien het zeer moeilijk is om de daders te achterhalen, nog even daargelaten dat ze meestal ook nog eens buiten Europa verblijven. Het daadwerkelijk opsporen en vervolgen van phishers is ook dan een zeer moeilijk verhaal. Erg frustrerend wanneer, met een kleine technische handeling, de gevolgen van deze criminele acties sterk beperkt kunnen worden.
Mijn voornaamste punt is dat ik mij afvraag of er - buiten de opsporing van de daders - nog andere mogelijkheden te bedenken zijn om phishing te bestrijden. Laat ik het anders stellen: zou het voor de politie mogelijk zijn om een server uit de lucht te halen dmv technische ingrepen (DDoS, hacking)? Is er een bijzonder bevoegdheid die dit zou kunnen inkapselen? |
Geplaatst: ma 11 feb 2008 18:17—
Ik begrijp je ethische en juridische bezwaren wel, toch zal er ergens een manier gevonden moeten worden om deze schade te voorkomen. Het is toch te zot voor woorden dat er miljoenen worden weggesluisd voor de neus van de politie terwijl deze hier niets tegen kan doen? Het lijkt me erg interessant om te zien wat de consequentie zal zijn van een dergelijke DDoS, in opdracht van een gerenommeerde bank. Dan wordt het op een gegeven moment natuurlijk gewoon een economische overweging (schade phisher > schade host + boete rechter). Ter illustratie nog even de belachelijk lage boete voor Novum voor gepleegde computervredebreuk. |
Geplaatst: ma 11 feb 2008 18:24—
De politie is daar bij mijn weten niet toe bevoegd, dus het mag niet. Verder gaat het om internationale aangelegenheden en wordt een DDoS volgens mij tegenwoordig zo'n beetje als een daad van terrorisme aangemerkt. Het lijkt mij daarom niet verstandig om zo'n bevoegdheid te creëren. Internationaalrechtelijk is het in ieder geval foute boel. Verder gaf Arnoud al aan dat het technisch eigenlijk niet mogelijk is om het gewenste resultaat te bereiken zonder allerlei collateral damage. Het idee van een DDoS is overigens dat je eerst enkele honderden of duizenden computers verspreid over het hele internet hackt om van daaruit een gedistribueerde aanval op te zetten. Vanuit de internetaansluiting van de politie naar Rusland gaat alles waarschijnlijk over één verbinding zodat je niet toekomt aan een gedistribueerde aanval. Verder heeft het waarschijnlijk ook nauwelijks zin om enkele servers feitelijk uit te schakelen. Daar kunnen de boeven eenvoudig omheen werken. |
Geplaatst: ma 11 feb 2008 18:42—
|
De banken kunnen natuurlijk net zoals iedereen een botnet huren om hun DDoS-aanval te ondernemen. Er zijn genoeg PC's die besmet zijn met trojan-software en aldus geprogrammeerd kunnen worden om een willekeurige site te bombarderen.
De boeven hebben het zwakke punt dat zij een server moeten adverteren, omdat de klant daarheen gelokt moet worden om de benodigde gegevens in te typen. Als je die uitschakelt, kunnen ze wel verhuizen maar dan moeten ze opnieuw hun mails uitsturen ook. Ik begrijp de frustratie maar vind het dan te ver gaan om te gaan schieten op de site die er vermoedelijk achter zit. Er zijn technisch genoeg dingen die je kunt doen als bank, in plaats van zo'n DDoS-aanval. Betere authenticatie is het belangrijkste. Weg met die TAN-codes, gebruik zo'n kastje waar een code uitkomt die 30 seconden geldig is. Arnoud |
Geplaatst: ma 11 feb 2008 19:13—
Klopt, maar in een volgende generatie trojans kan daar dan wel weer omheen worden gewerkt, P2P of zo  . Tegen de wapenwedloop valt niet zo heel veel te doen ben ik bang.
|
Geplaatst: ma 11 feb 2008 19:15—
Over de technische belemmeringen wil ik de discussie niet perse laten gaan. Ik heb de vorm van DDoS enkel gekozen om een behapbaar voorbeeld te gebruiken. Er zijn overigens heel wat andere manieren denkbaar dan botnets en neem maar van mij aan dat er wel meer lijntjes naar rusland (ook weer een voorbeeld) lopen. Het uitschakelen van enkele servers heeft trouwens weldegelijk zin. Er worden uiteraard onnoemelijk veel verschillende lijnen uitgezet maar uiteindelijk ligt het zwakke punt altijd bij een zeer beperkt aantal servers. Zonder hier nu teveel op de technische details in te gaan, met het targetten van een zorgvuldig uitgekozen DNS server kun je in een klap een compleet botnetwerk opblazen. Let wel, ik speel in deze discussie een beetje advocaat van de duivel, ben het in essentie helemaal eens met de opvatting dat eigenrichting alleen maar narigheid oplevert. Oplossingen die Arnoud aandraagt - t.a.v. de authenticatie - blijken overigens steevast te kraken. De reden hiervoor ligt er in dat de slachtoffers niet zozeer naar een valse site gelokt worden, maar een stuk malware hebben draaien wat de browser infecteert en de phisher direct 'realtime' mee laat kijken. De phisher onderschept dus de codes, voert deze in (met een vertraging van enkele seconden), voltrekt namens het slachtoffer de reguliere transactie en sluist tegelijkertijd een hoeveelheid geld voor zichzelf weg. |
Geplaatst: ma 11 feb 2008 19:33—
Maar juridisch valt er niet zo gek veel te discussiëren.
Zoals ik al zei, met de huidige generatie trojans wellicht. Cowboytactiek op het internet is in ieder geval geen oplossing. |
Geplaatst: ma 11 feb 2008 19:44—
|
Ik vind het wel een typische juristenbenadering: het mag niet en dat de politie er niets aan kan doen is jammer. Ik ben zelf jurist en ook altijd geneigd om zo te redeneren. Overigens precies de reden waarom zoveel commerciele bedrijven juristen liever kwijt dan rijk zijn, maar dat terzijde. Daar tegenover staat echter een probleem wat niet vanzelf weg gaat. Vroeg of laat zal er toch een reactie komen.
Is er, naar jullie mening, een voorwaarde te bedenken waaronder (in opdracht van justitie) op deze manier gehandeld kan worden? Eventueel in nieuwe wetgeving, that is. Een ander puntje: onder welke bepaling in het WvSr achten jullie de strafbaarheid van Phishing te kunnen scharen? |
Geplaatst: ma 11 feb 2008 20:49—
|
Nou ja, een beetje flauwe reactie. Ik ben niet tegen omdat het in de wet verboden is, ik ben tegen vanwege de onzekerheid en het gebrek aan controle en toezicht. Je hoort niet als bank zelf te besluiten "die gasten phishen ons, platbombarderen die hap". Of het nou een DDoS of een bombrief is maakt voor mij niet uit. Er vallen onschuldige slachtoffers en daarom is het moreel onjuist om dit te doen.
Draai het eens om: stel een of andere Rus is er van overtuigd dat jij hem zwartmaakt en gaat jouw site DDoS'sen. Of hij valt jouw buurman aan maar omdat jij op hetzelfde netwerksegment zit, gaat jouw site ook onderuit. Een betere manier zou zijn dat de bank identificeert welke site achter de phish zit, en dan Nederlandse providers verbiedt deze site door te geven. Zodra de phish-site buiten Nederland zit, zou er iets van samenwerking met het andere land moeten zijn om op te kunnen treden zodat de site daar gesloten kan worden. Als justitie zonder samenwerking met dat land een actie onderneemt om een Nederlands vonnis af te dwingen, kom je heel erg dicht in de buurt van wat diplomaten "onvriendelijke handelingen" noemen. Alleen al vanwege het risico dat Rusland of China gaan terugschieten, zou ik dit niet doen. De strafbaarheid wordt besproken in dat artikel dat ik in mijn eerste reactie noemde. Verder zou de bank nog haar merkrecht in kunnen zetten, er wordt immers gebruik gemaakt van beeld- en woordmerken en er is evident verwarring bij de consument/klant. Arnoud |
|
Rechtenforum.nl -> Informatie en technologie
Tijden zijn in GMT + 2 uur |
|
|
© 2003 - 2005 Rechtenforum.nl