Press "Enter" to skip to content

Computercriminaliteit

Zie tevens

POLITIE FLEVOLAND
EENHEID MIDDEN-NEDERLAND
DISTRICT FLEVOLAND
Telefoon 0900-8844
Faxnummer 036-5332398

Proces-verbaalnummer : PL2540 2013018940-1
(HKS-nr: PL2541.541.2013.974)
Pleegplaats en werkgebied : Almere Almere Stad West

P R O C E S – V E R B A A L
aangifte

Feit : Computercriminaliteit
Plaats delict : Gaffel .., …. .. Almere
Pleegdatum/tijd : Op dinsdag 18 december 2012 te 03:28 uur

Ik, verbalisant, Maria Gertruida Aldegonda Fleghaar, BOA domein generieke opsporing,
aktenummer 6024301/0 van Politie Flevoland, verklaar het volgende:

Op vrijdag 15 maart 2013 te 11:17 uur, verscheen voor mij, in het politiebureau,
Bureau Almere-Stad, Baljuwstraat 2, 1315 HG Almere, een persoon die mij opgaf te
zijn:

Achternaam : K….
Voornamen : O M
Geboren : 1…..
Geboorteplaats : S….
Geslacht : Vrouw
Nationaliteit : Nederlandse
Adres : Gaffel
Postcode plaats : …. BS Almere

Op dinsdag 18 december 2012 te 03:28 uur werd op de locatie, zoals vermeld bij plaats
delict, het in de aanhef vermelde feit gepleegd.

Zij deed aangifte en verklaarde het volgende:

“Hierbij doe ik aangifte van computervredebreuk.
Ik heb niemand toestemming gegeven om opzettelijk en wederrechtelijk binnen te
dringen in ons geautomatiseerd computersysteem.
Doordat verdachte een valse naam/valse hoedanigheid aannam, danwel gebruik maakte van
listige kunstgrepen/samenweefsel van verdichtsels,
met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen heeft ertoe
geleid dat de website prowi-ingbank.com van mijn man en mij gehackt is.

Op 18 december 2012 omstreeks 10:00 uur opende mijn man, Gerard Korver de computer om
te kijken op onze website, www.ptps.nl
Mijn man wilde namelijk op de website werken.
Deze website was vernietigd.
Direct ging hij op de website prowi-ingbank.com kijken.
Mijn man zag maar 1 pagina die bestond uit allemaal tekentjes.
Onherkenbaar maar allemaal tekens door elkaar.
Mijn man kwam niet verder in de website.
Mijn man is verder op de computer gaan zoeken en zag dat wij op onze website:
info@prowi-ingbank.com een mail had gevonden met de volgende tekst:
Re: info@prowi-ingbank.com
Hans Kok <hanskok@live.com>
Sent:Tue 12/18/2012 3:28 PM

To:info@prowi-ingbank.com
info&#64;prowi-ingbank.com earlier I decided u wanted something like this
http://goo.gl/UBT6t i know you’ll be making an abundant amount of cash with this and
I’ll be interested in how much you’re able to make, so let me know

Mijn man zag dat deze mail afkomstig was van Hans Kok.
Sinds 2006 hebben mijn man en ik een zakelijk conflict met de heer Kok. De heer Kok
werd in 2006 strafrechtelijk vervolgd voor valsheid in geschrifte daar hij 3
verschillende brieven heeft laten uitschrijven naar de curator die bezig was met de
afhandeling van het faillissement van ons bedrijf waardoor de curator op het
verkeerde been is gezet. Hierdoor heeft de boedel schade geleden.

Na het faillissement en de ziekte van mijn man proberen wij ons leven weer financieel
weer op de rit te krijgen ten behoeve hiervan heeft mijn man de nieuwe website:
www.PTPS.nl gebouwd.
Ook deze website is nu vernietigd geworden.

Hierdoor hebben wij financiële en zakelijke schade opgelopen.
Ook hebben wij reputatie schade opgelopen.

Ik overhandig u hierbij de uitdraai waar vermoedelijk het virus in verstopt zit.

Aan niemand werd het recht of de toestemming gegeven tot het plegen van het feit.”

Nadat de aangeefster de verklaring had doorgelezen, volhardde zij daarbij, waarna wij
ondertekenden.

De aangeefster,                                                            De verbalisant,

O.M. K….                                                                        M.G.A. Fleghaar (FVL06449)

Slachtofferzorg
Betreft O.M. K….

U wilt de schade verhalen op de verdachte.
U wilt op de hoogte gehouden worden van de voortgang van het onderzoek.

Aanvullende gegevens verstrekt door verbalisant
Er is informatie met betrekking tot verdere procedure en kans op opheldering
verstrekt.

Waarvan door mij is opgemaakt dit proces-verbaal dat ik sloot en ondertekende te
Almere op 15 maart 2013.

M.G.A. Fleghaar (FVL06449) op ambtsbelofte

Leesvoer: Hulpbron: handboek NCSC.
Telecommunicatiewet (Tw)
Op basis van de Europese Richtlijn privacy en elektronische communicatie dienen aanbieders van elektronische communicatienetwerken en -diensten waarborgen te bieden tegen inbreuken op de persoonlijke levenssfeer van abonnees of gebruikers van hun netwerken of diensten (Europese Commissie, 31 juli 2002). In de Europese Richtlijn wordt onder meer aandacht besteed aan de schending van de persoonlijke levenssfeer als gevolg van de ontvangst van ongevraagde commerciële communicatie (spam), cookies en spyware. Deze bepalingen zijn geborgd in de Nederlandse Telecommunicatiewet (Tw, 19 oktober 1998) en
het Besluit universele dienstverlening en eindgebruikersbelangen 2004.
Spam is niet strafbaar volgens de strafwet in Nederland, het valt onder het bestuursrecht. Er zijn alleen bestuurlijke boetes mogelijk. Overtredingen van het spamverbod vallen strikt genomen dan ook niet onder de noemer cybercrime. Toch wordt het gebruiken van e-mail en cookies in deze handleiding aangehaald om een volledig beeld van het misbruik van ICT-systemen te geven.
De Telecommunicatiewet en het Besluit universele dienstverlening en eindgebruikersbelangen stelt onder andere de volgende regels vast voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer:
• de aanbieder van een openbaar elektronisch communicatienetwerk of -dienst zorgt voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer van abonnees en gebruikers van zijn netwerk of dienst (zorgplicht en goed huisvaderschap) (art. 11.2);
• het gebruik van automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees is uitsluitend toegestaan met daarvoor voorafgaand toestemming (spam) (art. 11.7);
• voor het toegang verkrijgen tot, of opslaan van gegevens, in de randapparatuur van een abonnee of gebruiker, dient voorafgaand de abonnee of gebruiker te worden geïnformeerd en de gelegenheid te worden geboden de handeling te weigeren (cookies) (art. 4.1, Besluit universele dienstverlening en eindgebruikersbelangen).

Artikel 161sexies: opzet
Bij het opzettelijk veroorzaken van stoornis van een computer of openbaar telecommunicatienetwerk gaat het om:
1. het beschadigen of onbruikbaar maken van een geautomatiseerd werk, of 2. het vernielen van een geautomatiseerd werk, of 3. het buiten werking stellen van een veiligheidsmaatregel die ten opzichte van het geautomatiseerde werk is genomen.
Op basis van artikel 161sexies Sr zijn deze handelingen alleen strafbaar als een bepaald gevolg optreedt. Afhankelijk van de ernst van het gevolg staan er zwaardere strafmaxima op de gedraging. Het gaat om:
• verhindering of bemoeilijking met als gevolg stoornis bij de opslag of verwerking van gegevens ten algemene nutte (bijvoorbeeld van www.overheid.nl of van een elektriciteitscentrale), in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst;
• gemeen (vanuit het publiek belang gezien) gevaar voor goederen of voor de verlening van diensten;
• levensgevaar voor een ander;
• levensgevaar voor een ander en het feit heeft iemands dood tot gevolg.
Onbruikbaar maken, veranderen of aantasten van gegevens Het onbruikbaar maken, veranderen of anderszins aantasten van gegevens is strafbaar gesteld in de artikelen 350a en 350b Sr. Deze artikelen beschermen het ongestoorde gebruik van computergegevens tegen onder meer onbevoegde verandering of het ontoegankelijk maken van die gegevens (Kamerstukken 2004/05, 26671, 2005).
Het Wetboek van Strafrecht onderscheidt de situatie waarin iemand opzettelijk gegevens onbruikbaar maakt of verandert (art. 350a Sr) van de situatie dat dit niet opzettelijk gebeurt, maar er wel sprake is van schuld (art. 350b Sr). In de artikelen 250 a en 350 b Sr. zijn twee gedragingen strafbaar gesteld: het aantasten van gegevens (lid 1 en 2), en het ter beschikking stellen en verspreiden van gegevens die bedoeld zijn om schade aan te richten door zichzelf te
vermenigvuldigen in een geautomatiseerd werk, zoals computervirussen, wormen en andere malware (lid 3).
• via e-mail. Soms wordt op zeer grote schaal e-mail verspreid (spam) waaraan als bijlage een Trojaans paard hangt. Door de ontvanger over te halen de bijlage te installeren wordt het Trojaans paard verspreid;

Benodigde gegevens voor vaststelling Voor het vaststellen van malware zoals een computervirus of Trojaans paard is informatie nodig waaruit blijkt dat er
sprake is van een malware-besmetting. Een melding van het antivirusprogramma kan de eerste aanzet zijn. Ook kunnen afwijkende gedragingen van de computer een aanwijzing zijn, zoals onbekende meldingen in een firewall of IDSlogboek (Intrusion Detection System). Verder kan de computer zelf of de internetverbinding trager worden, er verschijnen zomaar foutmeldingen op het scherm of het besturingssysteem of applicaties lopen vaak vast.
De belangrijkste benodigde technische informatie is:
• een technische beschrijving van de getroffen systemen;
• een lijst van geïnstalleerde applicaties;
• een lijst van besmette of gewijzigde computerbestanden;
• een overzicht van de actieve processen in het computergeheugen;
• logbestanden;
• informatie over de aanwezige firewall en antivirusmaatregelen.

Drie vormen van computerinbraak
• Fysieke inbraak: Fysieke inbraak houdt in dat een hacker zich fysieke toegang verschaft tot een systeem. De hacker kan via een console toegang forceren of een onderdeel uit een systeem verwijderen (harddisk).
• Lokale inbraak: Lokale inbraak betekent dat een hacker gebruikersrechten heeft op een systeem. Via een exploit (serie commando’s) of het afkijken van een wachtwoord kan een hacker zijn gebruikersrechten uitbreiden.
• Inbraak op afstand: Een hacker heeft bij deze vorm van inbraak geen gebruikersrechten op een systeem. Door één of meerdere exploits kan een hacker zichzelf toch toegang verschaffen tot een systeem.

Cyberaanvallen
Cyberaanvallen kunnen plaatsvinden langs verschillende aanvalspaden, ook wel vectoren genoemd. Mogelijke aanvalspaden zijn:
• direct via het internet;
• via VPN (Virtual Private Network) aan het bedrijfsnetwerk gekoppelde thuiswerkplekken;
• via draadloze toegangspunten;
• met ongeautoriseerde apparatuur, zoals niet-toegestane laptops of usb-sticks;
• inbraak of insluiping en fysieke manipulatie van computersystemen;
• manipulatie van personen.

Cyberaanvallen kunnen bovendien plaatsvinden op diverse (technische) niveaus: de netwerklaag, de platformlaag en de applicatielaag.
• Op de netwerklaag kunnen gegevens worden afgeluisterd (sniffen) of informatie worden verzameld (enumeration), bijvoorbeeld door het scannen van computersystemen (poortscan of portscan).
• Op de platformlaag zijn de aanvallen gericht op het misbruik maken van bekende en nieuwe kwetsbaarheden in besturingssystemen (exploits). Maar ook aanvallen op de hardware en de daarin ingebouwde programmacode (firmware) komen voor.
• Op de applicatielaag kan misbruik worden gemaakt van fouten, die gemaakt zijn door de ontwikkelaars, in het ontwerp zitten of in de configuratie, of het gevolg zijn van implementatie van een (web)applicatie.
Websiteaanvallen
Er zijn verschillende vormen van inbraak of misbruik van websites op afstand via een openbaar telecommunicatienetwerk. Het doel kan sterk verschillen van bijvoorbeeld hacktivisme (demonstreren), onderscheppen van informatie (voor phishing of spionage), kopiëren van (klant)gegevens of het verbergen en aanbieden van illegale webcontent (kinderporno), producten en diensten via een anderzijds legitieme website.

Misbruik van een webproxy
Wat is een webproxy?
Een proxy is een server tussen de computer van een gebruiker en het systeem dat men wil benaderen. De proxy is een ‘tussenpersoon’ die de opdrachten namens de gebruiker uitvoert. Een proxy wordt normaal gebruikt om een bedrijfsnetwerk gecontroleerd toegang te geven tot het internet. Een open proxy staat verbindingen van willekeurige gebruikers (IP-adressen) toe, bijvoorbeeld voor e-mail, IRC-verkeer (Internet Relay Chat), FTP of HTTP/HTTPSinternetverkeer.
Via een webproxy kan een derde partij netwerkverkeer aanbieden aan andere computers, die de computer van de derde partij niet als oorspronkelijke afzender van het netwerkverkeer zien. In plaats daarvan zien de ontvangende computers de (bonafide) webproxy als afzender. Een open webproxy is in essentie een foutief geconfigureerde server of website die door iedereen kan worden gebruikt. Een open proxy kan op verschillende manieren ingezet worden. Door het opzetten van zogenoemde tunnels is het mogelijk om netwerkverkeer via de proxy op een andere netwerkpoort door te laten sturen. Met deze techniek is het mogelijk om in één keer een grote hoeveelheid mail voor verschillende geadresseerden op verschillende locaties aan te bieden. Deze techniek wordt vaak gebruikt bij het versturen van spam. Verder worden open proxies vaak gebruikt als springplank voor verdere activiteiten. Het netwerkverkeer dat door een proxyserver wordt doorgestuurd, lijkt immers van die proxyserver te komen. Alleen uit de logbestanden van de proxyserver zelf kan de oorspronkelijke bron nog achterhaald worden. Een open proxy (of meerdere proxies achter elkaar gekoppeld, een proxy chain) kan daardoor effectief worden misbruikt om weinig sporen achter te laten op het internet. Het gebruiken van een open webproxy voor illegale doeleinden kan ervoor zorgen dat deze (tijdelijk) niet meer
beschikbaar is voor normale doeleinden. Bijvoorbeeld wanneer een derde partij zulke grote hoeveelheden netwerkverkeer produceert dat de rechtmatige gebruikers van de server er geen gebruik meer van kunnen maken. In dat geval is er sprake van een denial-of-service. Steeds vaker infecteren wormen en virussen een computer door een Trojaans paard te installeren dat als open webproxy of open mail-relay fungeert. Dan is er dus geen sprake van een foutief geconfigureerde server maar van een met opzet geplaatst programma dat als proxy dienst doet. Geïnfecteerde systemen kunnen dan misbruikt worden om netwerkverkeer te tunnelen of door te sturen. Technische verschijningsvormen en herkenbaarheid Een open webproxy accepteert en stuurt netwerkverkeer
door buiten de vooraf (impliciet) gedefinieerde functie om. Een proxyserver zal over het algemeen alleen gebruikt mogen worden om netwerkverkeer van binnen naar buiten (naar derden) te accepteren. Zodra een server netwerkverkeer van derden naar andere derden afhandelt is er sprake van een open webproxy.

Benodigde gegevens voor vaststelling
Voor het vaststellen van misbruik van een systeem als open webproxy is de belangrijkste benodigde technische informatie:
• een technische beschrijving van het netwerk;
• een overzicht van de misbruikte servers;
• de lokale beveiligings- en netwerklogbestanden;
• informatie over firewalls en andere beveiligingsmaatregelen.
Bijlage F geeft een uitgebreid overzicht van benodigde (technische) gegevens voor het vaststellen en het doen van aangifte.

Strafbaarstelling
Wordt er binnengedrongen? Mogelijk.
Ook als het systeem geen afdoende basisbeveiliging heeft, blijft het aanbieden van netwerkverkeer door een nietgeautoriseerde persoon aan de server, te kwalificeren als binnendringen. Een webproxy is normaal opgezet om specifieke netwerkverbindingen te faciliteren voor geautoriseerde gebruikers of voor specifieke doeleinden. Een proxy is door de eigenaar dus niet bedoeld om als netwerkrouter te dienen die ál het netwerkverkeer probeert door te sturen. In ieder geval is er sprake van binnendringen als de open proxy- functionaliteit (bijvoorbeeld als malware)
opzettelijk en wederrechtelijk op een computer is geïnstalleerd door een kwaadwillende.

Wordt stoornis in het geautomatiseerde werk veroorzaakt? Mogelijk. Afhankelijk van de hoeveelheid netwerkverkeer dat door open proxy wordt verstuurd, kan er stoornis in een geautomatiseerd
werk optreden.
Worden gegevens veranderd, onbruikbaar gemaakt, vernield of toegevoegd?
Mogelijk.
Een open proxy stuurt in feite alleen aangeboden gegevens door. Er is meestal geen invloed op de normale bestaande of verwerkte gegevens van het systeem. Wel kan er sprake zijn van onrechtmatig gegevens toevoegen aan het systeem waaraan de gegevens worden aangeboden.
Worden gegevens afgetapt of afgeluisterd? Nee. De kwaadwillende misbruikt het systeem maar valt dit niet zozeer aan. Wordt er niet verder binnengedrongen in het systeem, dan zullen over het algemeen geen gegevens worden afgetapt.

HOO FDS TUK 3 Verschijningsvormen van cybercrime
Strafbaarheid
Als kan worden aangetoond dat opzettelijk en wederrechtelijk is binnengedrongen en gebruikmaakt van een open proxy, volgt strafbaarheid onder artikel 138ab lid 1 sub b Sr. Hierbij maakt het niet uit of en waar de schade zich voordoet. Er wordt met behulp van een vals signaal binnengedrongen in een open proxy.
Het doorbreken van een beveiliging is niet vereist. Wel had de indringer uit de omstandigheden moeten kunnen opmaken dat het niet de bedoeling was het systeem als webproxy te gebruiken. Dit kan echter ook op andere manieren dan met beveiligingsmaatregelen duidelijk zijn gemaakt.
Het onrechtmatig aanbieden van gegevens aan een computer via een open proxy zal, als deze gegevens in de computer worden opgenomen of verwerkt, gekwalificeerd kunnen worden als gegevensaantasting (art. 350a lid 1 Sr). Als er schade ontstaat aan bedrijfsnetwerken of -servers kan dit eventueel civielrechtelijk worden verhaald. Als de persoon de open relay misbruikt en hiermee een stoornis veroorzaakt in de uitvoering van een nutsdienst of openbaar telecommunicatienetwerk of telecommunicatiedienst, of met gemeen gevaar voor goederen of diensten, of levensgevaar, kan hij strafbaar zijn op grond van artikel 161sexies of 161sexies Sr. Hierbij moet dan wel worden aangetoond dat bijvoorbeeld spam wordt verstuurd waardoor de werking van een publiek netwerk of systeem wordt bemoeilijkt.
3.3.2 Defacing
Wat is een defacement?
Defacement van een website is het zonder toestemming veranderen, vervangen of vernielen van (het aangezicht van) een website. Defacing is een digitale vorm van vandalisme.
Er zijn twee manieren van defacing:
• Binnendringen in de webserver.
Bij deze vorm van defacing wordt op afstand binnenge drongen in het systeem door bijvoorbeeld exploits, SQLinjectie
of password guessing. Vervolgens wordt de website vernield of aangepast.
• Omleiding van internetverkeer (DNS-hack/name spoofing).
Bij deze vorm van defacing wordt het internetverkeer doorgeleid naar een andere (malafide) website in plaats van de bonafide website.
Technische verschijningsvormen en herkenbaarheid
Defacing is in eerste instantie eenvoudig visueel te herkennen doordat er teksten, afbeeldingen of andere inhoud aanwezig is die niet in opdracht van de eigenaar zijn geplaatst.
Binnendringen in de webserver
Wanneer voor de vernieling of vervanging van een website wordt binnengedrongen, vindt meestal of een computerinbraak op afstand plaats (zie 3.2.3) of worden zwakke plekken misbruikt met exploits of bijvoorbeeld SQL-injectie. Voor defacement van een website is niet altijd toegang tot het systeem noodzakelijk. Het aanbieden van gemanipuleerde informatie kan voldoende zijn. Door bijvoorbeeld
code te injecteren in invoervelden op een website zoals bij een discussieforum, kunnen eventuele kwetsbaarheden van een webapplicatie worden misbruikt om de inhoud van de website aan te passen of om toegang te verkrijgen tot het CMS (Content Management Systeem).
Om het defacement uit te voeren is informatie over de webserver nodig. Vooraf zal een aanvaller een vooronderzoek kunnen uitvoeren via footprinting en portscans. In dit voorbereidende stadium kunnen deze handelingen al worden herkend door firewalls en intrusion detection systems. Een webserver bestaat uit statische of dynamische informatie en interactiemogelijkheden. Bij statische informatie wordt gebruik gemaakt van bestanden, waar de webcontent in is opgenomen. Deze bestanden worden als webpagina’s
aan de bezoeker van een website gepresenteerd. Bij defacement van een statische website zijn deze bestanden vervangen of aangepast door de hacker. Door bijvoorbeeld hash-waarden van originele bestanden te vergelijken met de actuele hash-waarden van bestanden kan dit worden herkend.
Bij een dynamisch gegenereerde website worden de gegevens opgeslagen in een database. Op verzoek van een bezoeker wordt een webpagina gegenereerd door een script, dat de content uit de database ophaalt en samenstelt tot een webpagina. Het script is opgenomen in een bestand op de webserver. De database kan zich op de webserver zelf of op een aparte databaseserver bevinden. Defacement van een dynamische website houdt in, dat het script op de webserver is aangepast of dat de inhoud in de database is aangepast.
Een website-defacement waarbij wordt binnengedrongen, kan worden herkend door:
• Het vergelijken van de website zelf via een webbrowser;
• Herkenning van inbraakpogingen aan de hand van firewall logbestanden of een Intrusion Detection System (IDS);
• Logbestanden van de webserver;
• Datum van aanmaken, aanpassen of verwijderen van bestanden;
• Het vergelijken van de huidige bestanden met de originele bestanden. Dit kan gebeuren met behulp van
een fingerprint (checksum of hash-waarden);
• Het vergelijken van de aanwezige informatie in de productiedatabase met die in een back-up-database.

Omleiding van internetverkeer (DNS-hack/name spoofing)
Website-defacement is ook mogelijk door verschillende manieren van DNS-spoofing/cache poisoning (zie 3.2.5).
DNS zorgt voor een koppeling van de hostname aan een IPadres.
Bij een DNS-hack wordt door een DNS-server de hostname van de website gekoppeld aan een ander (malafide)
IP-adres. Door de hostname zoals een websitebezoeker in een URL gebruikt naar een ander IP-adres te verwijzen, wordt de website niet meer bereikt op het oorspronkelijke IP-adres. De website is dus niet meer bereikbaar op basis van de hostname. In sommige gevallen echter is de website nog wel rechtstreeks
bereikbaar op het oorspronkelijke IP-adres. Dit is voor normale websitebezoekers niet te controleren, omdat
zij niet het originele IP-adres van de website kennen. Ook de beheerder van de website die defaced is via DNS-hacking of DNS-spoofing, kan dit soort problemen niet altijd detecteren. De caching en/of root-name-server wordt namelijk niet per definitie door hem/haar beheerd. Als gevolg van DNS-spoofing/cache poisoning zal het normale netwerkverkeer een ander patroon vertonen. Een bezoeker van de website wordt immers naar een ander (malafide) IP-adres omgeleid. Door deze routing komt het dataverkeer van de bezoeker dus niet aan op het netwerk waarop de webserver is aangesloten. De website ontvangt geen nieuwe bezoekers meer. Dit veroorzaakt een afname in het normale verkeerspatroon van de website.
Benodigde gegevens voor vaststellin:

Voor het vaststellen van een defacement is de belangrijkste benodigde technische informatie:
• een overzicht van geplaatste of aangepaste bestanden met tijdstip van plaatsing/aanpassing;
• de code (string) die een aanvaller naar de website zendt of heeft gezonden;
• informatie over DNS en domeinregistratie;
• een technische beschrijving van het netwerk;
• een overzicht van de misbruikte servers;
• de lokale beveiligings- en netwerklogbestanden;
• informatie over firewalls en andere beveiligingsmaatregelen.
Als vermoed wordt dat de defacing plaatsvindt via DNS aanpassingen of spoofing zijn bovendien gegevens van de DNS-server nodig, zoals de aanpassing van een A-record of de gewijzigde DNS-bestanden. Bijlage F geeft een uitgebreid overzicht van benodigde (technische) gegevens voor het vaststellen en het doen van aangifte.
Strafbaarstelling
Wordt er binnengedrongen? Mogelijk.
Een hacker kan na toegang tot het systeem de website aanpassen. Echter bij defacement van een website is binnendringen in het systeem waarvan de webserver deel uitmaakt niet altijd noodzakelijk. Een hacker kan de inhoud van een website bijvoorbeeld aanpassen door malafide input te leveren via invulvelden op een website. Bij een DNS-hack of DNS-name-spoofing wordt het defacement van een website op afstand uitgevoerd. Er wordt niet binnengedrongen op het systeem van de website. Er kan echter wel sprake zijn van binnendringen op het systeem van de DNS-server.
Wordt stoornis in het geautomatiseerde werk veroorzaakt? Mogelijk.
Als de inhoud van een website wordt aangepast, is er
HOOFDSTUK 3 Verschijningsvormen van cybercrime
DNS-spoofing/DNS-hack
Aanvaller maakt een malafide website Bezoeker opent URL voor hostname en vraagt daarmee IP-adres van webserver op bij DNS-service Aanvaller stuurt een aangepast DNSdatapakket naar DNS-server of dringt
binnen en past DNS-zonefile aan 3 Malafide website IP-adres B 4 5 4 DNS-server antwoordt met het IP-adres B van de malafide webserver 5 Bezoeker wordt omgeleid naar malafide website
Bonafide  website IP-adres A Bezoeker http://www.hostname.nl IP-adres B 65
HOO FDS TUK 3 Verschijningsvormen van cybercrime sprake van beschadiging aan of stoornis van een website.
Een bedrijf heeft een website opgezet met een bepaalde doelstelling. Als een hacker de website dusdanig aanpast zodat de website niet meer aan de doelstelling voldoet, is er sprake van een stoornis. Bij defacing is het veroorzaken van een stoornis van een geautomatiseerd werk meestal niet het primaire doel.
Als de cache van een DNS-server wordt vervuild of de DNS zonefile wordt aangepast, is er sprake van beschadiging van de nameserver. De werking van de webserver wordt niet aangetast.
Worden gegevens veranderd, onbruikbaar gemaakt, vernield of toegevoegd?
Ja.
Als de inhoud van een website wordt aangepast, is er sprake van beschadiging of vernieling van een website.
Bij een DNS-hack of DNS-name-spoofing worden de gegevens van de website niet aangetast. Alleen de gegevens die zich in de nameserver bevinden worden aangepast.
Worden gegevens afgetapt of afgeluisterd? Nee.
Meestal worden bij een defacement geen gegevens afgeluisterd. Een DNS-hack of DNS-name-spoofing heeft wel tot gevolg dat bezoekers van de website niet uitkomen op de oorspronkelijke website maar op een malafide website. Een hacker zou op deze manier wel informatie kunnen onderscheppen.
Strafbaarheid
Defacing is het zonder toestemming veranderen, vernielen of vervangen van een website. Dit is strafbaar gesteld op grond van het feit dat er sprake is van beschadiging van gegevens en/of manipulatie van gegevens (art.350a Sr). Voordat websitegegevens kunnen worden gemanipuleerd zal vaak moeten worden binnengedrongen in het geautomatiseerde werk. Het zonder toestemming binnendringen in het geautomatiseerde werk is strafbaar gesteld in artikel 138ab Sr. Hoewel niet gebruikelijk, kan als gevolg van defacing ook sprake zijn van computersabotage als een stoornis wordt veroorzaakt (art. 161sexies en 161septies Sr). Voor strafbaarheid op grond van artikel 161sexies of 161sexies Sr is wel vereist dat één van de gevolgen genoemd in deze artikelen intreedt (stoornis in de uitvoering van een nutsdienst of openbaar telecommunicatienetwerk of telecommunicatiedienst, van gemeen gevaar voor goederen of diensten of levensgevaar). Defacing door een DNS-hack of name-spoofing zorgt voor doorleiden van internetverkeer naar een andere website. Hierdoor kan iemand verbinding krijgen met een andere website dan dat hij heeft aangeven. Hoewel in eerst instantie alle betrokken systemen normaal functioneren, worden onjuiste hostname/IP-adresgegevens verstrekt aan websitebezoekers. Dit kan strafbaar zijn op grond van de artikelen 138ab lid 1, 350a lid 1 en 350b lid 1 Sr. Weliswaar wordt niet direct een storing veroorzaakt bij individuele
geautomatiseerde werken, maar wel wordt een stoornis veroorzaakt in het totale systeem, bestaande uit de computer van de websitebezoeker, openbare DNS-systemen en de te bezoeken bonafide website.
Zie voor de strafbaarheid van de DNS-hack paragraaf 3.2.5 bij domain-name-spoofing/cache poisoning.
3.3.3 SQL-injectie
Wat is SQL-injectie?
SQL-injectie is een aanvalstechniek waarbij via invoervelden op een website extra of aangepaste instructies worden opgegeven met als doel om de achterliggende database van een website bepaalde instructies te laten uitvoeren. Op deze wijze kan een aanvaller bijvoorbeeld ongeautoriseerd toegang krijgen tot de website, gegevens uit de database opvragen (zoals gebruikersnamen en wachtwoorden) of opdrachten door de website laten uitvoeren. Webapplicaties maken vaak gebruik van databases voor het opslaan en oproepen van allerhande informatie. Structured Query Language (SQL) is de taal die elke database ondersteunt om toegang tot deze informatie mogelijk te maken. Elke database biedt de mogelijkheid om informatie uit de
database op te vragen (SELECT), te verwijderen (DELETE) en te wijzigen (UPDATE). Daarnaast is het uiteraard mogelijk om nieuwe informatie aan de database toe te voegen (INSERT). Deze functionaliteiten vormen de basis van elke database. Vaak is het mogelijk om via de aanroep van in de database opgeslagen scripts (stored procedures) extra taken te laten uitvoeren zoals het versturen van e-mail. Sommige databases
bieden zelfs de mogelijkheid om direct opdrachten en programma’s op besturingsniveau aan te roepen.
SQL-injectie wordt veroorzaakt door onvoldoende controles op de invoer van gebruikersdata en onveilige programmeergewoonten. Is de kwetsbaarheid voor SQL-injectie aanwezig, dan kan een aanvaller op het internet SQL-verzoeken die een webapplicatie verstuurt naar de database manipuleren. Daarbij heeft de aanvaller vaak toegang tot het brede scala aan functionaliteiten dat de database biedt. De gevolgen
van deze kwetsbaarheid zijn in grote mate afhankelijk van de programmalogica.
Technische verschijningsvormen en herkenbaarheid
Misbruik via SQL-injectie kan in de logbestanden worden teruggevonden. Dan is te zien of via HTTP GET- of HTTP POST-opdrachten ongewenste informatie wordt meegestuurd.
Kenmerken van pogingen tot SQL-injectie zijn:
• SQL-commando’s zoals CAST, DECLARE, SELECT, WHERE in de communicatie;
• logische instructies in antwoordvelden die worden
aangeboden aan de website (zoals AND, OR, =, > operators);
• extreem lange waarden van een parameter, getypeerd door meer dan 500 karakters;
• de aanwezigheid van de keywords IFRAME en SCRIPT SRC in verschillende velden in de database.
Zie voor een uitgebreide toelichting de factsheet ‘FS-2008- 05 Massale SQL-injectie-aanvallen’ (GOVCERT.NL, 23-06-2008).
Benodigde gegevens voor vaststelling
Vooral de logbestanden van de webserver, proxyserver en/of databaseserver zijn nodig, met hieruit de relevante gedeelten waarin de HTTP-verzoeken met geïnjecteerde data te vinden zijn. Daarnaast kunnen alle afwijkende gedragingen van de computer een aanwijzing zijn, zoals onbekende meldingen in een firewall/IDS-log, trager wordende prestaties (internetverbinding), foutmeldingen of veelvuldige storingen bij specifieke webapplicaties. Bijlage F geeft een uitgebreid overzicht van benodigde (technische) gegevens voor het vaststellen en het doen van aangifte.
Strafbaarstelling
Wordt er binnengedrongen? Mogelijk.
Door SQL-injectie worden onverwachte gegevens ingebracht op of aangeboden aan een webserver. Er worden gegevens verstuurd aan een webserver om te worden verwerkt, om zo zonder toestemming gegevens van de website te ontfutselen. Daarnaast wordt SQL-injectie bijvoorbeeld toegepast om met valse signalen of een technische ingreep de beveiliging van een systeem te omzeilen. Meestal is bij SQL-injectie sprake van een vorm van wederrechtelijk binnendringen.
Wordt stoornis in het geautomatiseerde werk veroorzaakt? Mogelijk.
Een webserver aangevallen via SQL-injectie kan onbedoeld opdrachten uitvoeren die stoornis veroorzaken in een geautomatiseerd werk, bijvoorbeeld doordat onderliggende procedures (commando’s) worden gestart of omdat gegevens worden aangetast.
Worden gegevens veranderd, onbruikbaar gemaakt, vernield of toegevoegd?
Ja.
Door SQL-injectie kunnen gegevens worden verwijderd, gewijzigd of toegevoegd. Het is bijvoorbeeld via SQL-injectie mogelijk om gegevens aan een database toe te voegen, te veranderen of te wissen.
Worden gegevens afgetapt of afgeluisterd? Nee.
Het is wel mogelijk door SQL-injectie ongeautoriseerd gegevens op te vragen en te kopiëren, zoals toegangsgegevens van gebruikers (overnemen van gegevens).
Strafbaarheid
Het aanbieden van een kwaadaardige code gebeurt bijna altijd met opzet, bijvoorbeeld door het aanbieden van een gemanipuleerd HTTP-verzoek aan een website. De dader wil binnendringen, gegevens overnemen of schade als gevolg van vernieling veroorzaken in het computersysteem of de gegevens in het  computersysteem aantasten.

Als er eerst onrechtmatig gegevens moeten worden toegevoegd aan een database om meer rechten te kunnen krijgen om verdere acties te ondernemen, is artikel 350a lid 1 Sr van toepassing. Hierbij kan tevens sprake zijn van het overnemen van gegevens nadat is binnengedrongen in het geautomatiseerde werk (artikel 138ab lid 2 Sr).

Benodigde gegevens voor vaststelling
Voor het vaststellen of een computer deel uitmaakt van een botnet zijn dezelfde gegevens nodig als voor malware of een Trojaans paard. Daarnaast kunnen alle afwijkende gedragingen van de computer een aanwijzing zijn, zoals onbekende meldingen in een firewall/IDS-log, trager wordende prestaties (internetverbinding), foutmeldingen of veelvuldige storingen bij specifieke applicaties.
De belangrijkste benodigde technische informatie is:
• een overzicht van de gedane constateringen en het tijdstip waaruit blijkt, of op basis waarvan wordt vermoed, dat er sprake is van een botnet-infectie;
• een technische beschrijving van de getroffen systemen;
• een lijst van geïnstalleerde programmatuur;
• een lijst van gewijzigde computerbestanden;
• een overzicht van de actieve processen in het computergeheugen;
• logbestanden;
• informatie over aanwezige firewall- en antivirusmaatregelen.

Met vriendelijke groet,

Richard M. van ‘t Schip
Brigadier van politie
Recherchecoördinator Almere West & Poort

U kunt commentaar geven als u wilt...

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Mission News Theme by Compete Themes.
Copyright @ De Charlatan 2017 – Published Defiance Press & Publishing – New York
RSS
Follow by Email
Facebook
Twitter
WP-Backgrounds Lite by InoPlugs Web Design and Juwelier Schönmann 1010 Wien