Dark Market
In zijn boek Dark Market onderzoekt de Britse journalist Misha Glenny de georganiseerde internetmisdaad. Hij reisde de wereld rond en sprak met hackers van diverse pluimage. “Tot voor kort waren cybercriminelen niet-gewelddadige nerds met een grote honger naar geld. Maar na het failliet van Lehman Brothers beginnen ook de traditionele gewelddadige maffioso de lucratieve mogelijkheden van het internet te ontdekken.”
In juni 2002 vond in de Oekraïense havenstad Odessa in het dure maar spuuglelijke Odessa Hotel de driedaagse First Worldwide Carders’ Conference (FWCC) plaats, waar het kruim van computercriminelen van over de hele wereld voor het allereerst in de geschiedenis bijeenkwam. Tot de aanwezigen behoorden tophackers als Auditor, Rayden, Bigbuyer, Boa en Script, de piepjonge organisator van de conferentie. Op de agenda van de plenaire vergadering stonden onderwerpen zoals: hoe kunnen we in de toekomst niet alleen de kredietkaartnummers van Visa- en MasterCardklanten achterhalen, maar ook die van minder bekende kredietkaartondernemingen zoals JBC en Diners? Of: hoe kunnen we op korte termijn onze netwerken ‘optimaliseren’ van mensen die in Zuid-Amerika, Oceanië en Afrika gestolen creditcards verzilveren en het geld in banken of bankautomaten incasseren? Met de FWCC vierde organisator Script, alias de toen negentienjarige Oekraïner Dimitri Goloebov, het eenjarige bestaan van zijn bijzonder succesrijke hackerswebsite CarderPlanet. Op zestienjarige leeftijd had de fervente gamer en computernerd Goloebov zich bekwaamd in het razendsnel hacken van databanken van bedrijven waar hij alle kredietkaartgegevens van hun klanten uit puurde. Vervolgens ging hij met zijn buit shoppen op het internet, waarna hij de gehackte kredietkaartinformatie via het wereldwijde web doorverkocht aan een geïnteresseerde derde partij elders in de wereld. In 2001 kreeg Goloebov het lumineuze idee om een grote superbeveiligde online markt op poten te zetten waar internetcriminelen gestolen kredietkaartnummers met pincodes, bankrekeningen met wachtwoorden, virussen en valse documenten konden verhandelen en allerlei weetjes met elkaar konden uitwisselen. De lancering van CarderPlanet was een groot succes en markeerde het begin van de georganiseerde internationale cybercriminaliteit. Zeer snel kreeg CarderPlanet op andere plaatsen in de wereld navolging met gelijkaardige websites met niets aan de verbeelding overlatende namen als theftservices.com, darknet.com, shadowcrew.com, cardersmarket.com en darkmarket.com.
Dimitri Goloebov reeg met CarderPlanet vier jaar lang de successen aaneen, tot hij onder druk van de Amerikaanse justitie door de Oekraïense politie opgepakt werd, een paar maanden lang in een cel verdween om vervolgens in 2009 door een rechtbank in Kiev van alle blaam gezuiverd te worden. Goloebov was een van de gesprekspartners van de Britse onderzoeksjournalist Misha Glenny voor zijn fascinerende boek over cybercriminaliteit Dark Market. “Vandaag heeft Goloebov zijn alter ego Script achter zich gelaten, en is hij actief in de Oekraïense politiek met de door hem opgerichte Internetpartij”, zegt Glenny. “Zijn voornaamste programmapunt is de bestrijding van corruptie, porno en drugshandel op het internet. Hij is er heilig van overtuigd dat hij binnen tien jaar verkozen zal worden tot premier of president van Oekraïne.”
Lisbeth Salander
U sprak met andere tophackers die voor hun criminele activiteiten op verschillende plaatsen in de wereld in de gevangenis zitten, maar ook met vijf hackers die nog steeds als cybercrimineel actief zijn. Wat voor mensen zijn het?
Misha Glenny: Toen ik aan de research voor Dark Market begon, had ik net de Millenniumtrilogie van Stieg Larsson gelezen. Zijn hoofdpersonage Lisbeth Salander is een van de grootste literaire creaties van deze eeuw. Met haar sterke autistische trekken, zowel in haar sociale vaardigheden als in haar uitzonderlijke cybervaardigheden, is zij hét prototype van de hacker. Als ik met andere Milleniumtrilogielezers over Salander praat, merken ze allemaal op: ‘Wat zij met computers uitspookt, is in de realiteit onmogelijk.’ Ze vergissen zich: Salander is het fictieve maar waarheidsgetrouwe evenbeeld van hackers zoals Dimitri Goloebov. Goloebovs CarderPlanet leek een perfecte kopie van de Hacker Republic, de fictieve geheime groep waartoe Salander in Mannen die vrouwen haten behoorde. Met de Carders’ Conference in Odessa zetten Goloebov en zijn kompanen de stap naar de georganiseerde misdaad. Het klinkt alsof organisaties zoals wijlen CarderPlanet ultramoderne cyberversies van maffia-organisaties zoals de ‘Ndrangheta zijn, maar voorlopig is dat nog niet zo. Cybercriminelen zijn geen godfathertypes: het zijn rationele, logische, slimme kerels met autistische trekjes. Ze zijn niet gewelddadig en staan niet met een honkbalknuppel in de aanslag voor je deur. Ik ben niet bang dat ik naar aanleiding van mijn boek in een doodskist op de bodem van de Thames zal belanden. Al hangt er verandering in de lucht, want door de financiële crisis is de echte georganiseerde misdaad nu volop bezig met het ontdekken van de voordelen van cybercrime. Na het failliet van Lehman Brothers is de wereldwijde reguliere misdaadmarkt in een recessie beland. De drugsmarkt zit op zijn gat, net als de vrouwenhandel en de prostitutie. Door de recessie hebben mensen niet veel geld meer op overschot om drugs te scoren of naar de hoeren te gaan. Criminelen zijn dus naarstig op zoek naar manieren om hun gederfde inkomsten aan te zuiveren. De makkelijkste manier is fraude, waardoor de financiële misdaad nu aan een stevige opmars bezig is. Het internet is voor criminelen een godsgeschenk: het risico bij internetcriminaliteit is relatief klein, terwijl de opbrengst vrij hoog ligt. Dus zijn op dit moment ook de traditionele georganiseerde misdaadbendes hard aan het werk met het verleggen van een deel van hun activiteiten naar het web.
De meeste mensen lijken daar niet echt van wakker te liggen, maar maken er zich meer zorgen over dat ze in hun huis of op straat van hun geld beroofd zullen worden.
Glenny: We onderschatten de cybermisdaad en dat komt omdat veel van de oplichting op internet om relatief kleine bedragen gaat. Het zou best wel eens kunnen dat iemand af en toe 15 euro met jouw kredietkaart uitgeeft zonder dat je het opmerkt. Zoveel van onze transacties verlopen nu over het internet en wie overloopt op het einde van de maand alle aankopen die hij gedaan heeft? Als je dan een betaling van 15 euro ziet staan onder het nietszeggende kopje ‘algemene diensten’ en je belt naar je kredietkaartfirma, is de kans groot dat ze je klacht niet zullen aanvaarden. Je kan nog naar de politie stappen, maar voor zo’n habbekrats haalt die de grote middelen niet boven. Het internet biedt een enorme schaalgrootte waardoor het voor criminelen zeer lucratief is om ontzettend veel mensen van kleine bedragen te beroven. Voor de politie is het uiterst moeilijk om daar tegen op te treden. Ondernemingen hangen niet graag aan de grote klok dat hun databanken gekraakt zijn, want dat berokkent schade aan hun imago. Banken zullen alleen maar toegeven dat ze gehackt zijn, als ze niet anders meer kunnen. Ik heb geprobeerd om daarover met vertegenwoordigers van banken van gedachten te wisselen, maar het is een hopeloze zaak: ze vertikken het om over internetfraude te communiceren. Kredietkaartbedrijven zijn iets opener, al moet je je daar ook niet teveel bij voorstellen. Door die wereldwijde omerta bij bedrijven en banken, weten we niet hoe groot het probleem is. Volgens schattingen van de Amerikaanse regering kost cybercrime ons jaarlijks één triljoen dollar. Op de Conference on Cyberspace die hier in Londen plaatsvond, hoorde ik het getal vallen van 285 miljard dollar per jaar. Elk land voert zijn eigen internetwetgeving en -beleid, waardoor het onmogelijk is om een algemeen beeld te krijgen.
In een tijdspanne van amper twintig jaar heeft het internet grip gekregen op absoluut alles wat wij ondernemen. In de hele geschiedenis is er geen enkele uitvinding of gebeurtenis die hiermee vergeleken kan worden. Wij, gewone burgers, weten niet hoe het internet werkt en wie er allemaal achter de schermen actief zijn. Als je zeven jaar geleden gezegd zou hebben dat in 2011 het machtigste bedrijf ter wereld Facebook zou heten en dat dat een internetsite zou zijn waarop mensen laten weten dat ze de nacht voordien dronken waren, had iedereen je gek verklaard. Massaal sociaal gedrag op het web is onvoorspelbaar: niemand weet waar het naartoe zal gaan. Wat we wel weten, is dat we dagelijks afhankelijker van het internet worden en er tezelfdertijd kwetsbaarder door worden. Toen de server van BlackBerry het een paar weken geleden liet afweten, zag je mensen in de straten uit pure frustratie bijna met hun hoofd tegen een bakstenen muur slaan, want ze konden een paar uur lang hun mails niet meer checken. Het belang van het internet op ons dagelijks leven zal dus alleen maar toenemen, en de cybercriminaliteit zal daar garen bij spinnen.
Koude Oorlog op het web
De Russische overheid voert via haar geheime dienst FSB een strikte controle over het internet en toch zijn de meeste hackers vanuit Rusland actief. Hoe is dat te verklaren?
Glenny: De FSB en de hackers werken samen. Vaak is het een gedwongen samenwerking: zo’n hacker krijgt om vier uur in de ochtend een virtuele klop op de deur, waarbij de FSB hem koudweg laat weten: “Kameraad, ofwel los je af en toe een vies internetzaakje voor ons op en laten we je rustig verder rekeningen van buitenlanders plunderen, ofwel bezorgen we je een enkeltje richting Siberië.” In de jaren negentig al gaf de Russische overheid de opdracht aan de FSB om alle bits en bytes die in en uit het land vlogen, strikt in de gaten te houden. Ze hebben daarvoor SORM-2 op poten gezet, het ‘Systeem voor Operationeel-Onderzoekende Activiteiten’. Alle informatie die de Russen via het web opvragen en versturen, wordt door hun internetproviders gekopieerd en doorgestuurd naar de FSB-centrale in Moskou. Daar wordt alles gelezen. Internetproviders zijn verplicht om zelf de apparatuur van SORM-2 te bekostigen én ze moeten ook een bijdrage betalen in de kosten van de FSB. Als ze dat weigeren of de gekopieerde bestanden van hun gebruikers niet doorsturen, krijgen ze geen licentie. Ze hebben dus geen keuze. Het bizarre is dat ondanks de ijzeren greep van de FSB op het internetverkeer in de hele Russische Federatie, er vooral in Sint-Petersburg en het zuiden van Rusland een hoge concentratie is van internetbedrijven, de zogenaamde ‘kogelvrije hosters’, die tegen fikse betaling ruimte voor beschermde websites aanbieden waar justitie geen vat op heeft. Ideaal voor de distributie van kinderporno, maar ook voor internetcriminelen en hackers. Rusland is daardoor een van de grootste centra van wereldwijde cybercriminaliteit geworden. Je vindt dat soort bedrijven ook in Oekraïne en Kazakstan. Verschillende Russische en Oekraïense bronnen verzekeren me dat de Russische FSB en de Oekraïense geheime dienst SBU deals met kogelvrije hosters en met cybercriminelen maken: contracten waarin alles netjes opgelijst is wie wat voor wie doet. Zo mogen hackers hun criminele activiteiten tegen de Verenigde Staten en West-Europa rustig voortzetten, alleen mogen ze nooit iets ondernemen tegen de Russische overheid.
Er zijn grote aanwijzingen dat in april en mei 2007 hackers met medeweten en misschien zelfs op aansturen van de Russische overheid geprobeerd hebben om het internetverkeer in Estland lam te leggen. Met het uitsturen van een overkill aan spam trachtten ze websites en servers van Estse banken en mediabedrijven te laten crashen. De aanleiding was de aankondiging van de Estse regering om het monument voor de gevallen soldaten van het Rode Leger in de Tweede Wereldoorlog te verplaatsen van het centrum van de hoofdstad Talinn naar de gemeentelijke begraafplaats vlakbij.
Speelt de Koude Oorlog zich dan nu gewoon verder af op het internet?
Glenny: Er zitten zeker elementen van de Koude Oorlog in de manier waarop de Russische overheid en haar geheime dienst met het internet omgaan, maar tezelfdertijd zijn ook de oude natiestaten uit de 19e eeuw op het web alive and kicking. De traditionele landsgrenzen blijken in de virtuele wereld springlevend te zijn. De Chinese burgers surfen over een heel ander internet dan de Zweden, en Amerikaanse staatsburgers hebben een heel andere internetervaring dan de Zuid-Afrikaanse. Het internet raakt steeds meer gefragmenteerd in ‘natiestaten-internetten’, wat helemaal indruist tegen de aard van het wereldwijde web. Voor mensen met grote hackersvaardigheden zijn die natiestaten-internetten een zegen, want ze kunnen van achter hun computerscherm anoniem alle plaatselijke regels omzeilen en handig misbruik maken van de landen met de zwakste internet- en de meest liberale privacywetgeving.
De Verenigde Staten waar het begrip ‘vrijheid’ hoog in het vaandel gevoerd wordt, blijken paradoxaal genoeg over een bijzonder strenge internetwetgeving te beschikken.
Glenny: Lang voor 9/11, eind jaren tachtig al, zorgde de Computer Fraude and Abuse Act ervoor dat de Amerikaanse staat een flinke vinger in de pap kreeg in wat er op ‘hun’ internet gebeurde. Sindsdien zijn er alleen maar meer draconische maatregelen en mogelijkheden tot bestraffen bijgekomen voor mensen die ervan verdacht worden op een of andere manier als hacker actief te zijn. Met bedrijven als Google en Facebook huisvesten de VS ook de grootste verzamelplaatsen van persoonlijke gegevens ter wereld. De overheid beschouwt Google daarom als onderdeel van de nationale veiligheid. De toplui van Google zelf vinden het niet zo leuk om als een overheidsdepartement behandeld te worden en proberen zich te verzetten tegen te veel interventie van de staat in de data-archieven van hun gebruikers. Hun concurrenten hebben het graag smalend over ‘de Obama-administratie aangedreven door Google’. Er zijn ook veel persoonlijke connecties tussen belangrijke figuren bij Google en stafleden in het Witte Huis. Als je het hoofdkwartier van Google in Mountain View in Californië binnenstapt, lijkt het alsof je in een olijke vrolijke onschuldige speeltuin terecht komt, maar in in werkelijkheid wandel je bij een topspeler in de wereldwijde economie, samenleving, politiek en veiligheid binnen. Ze zijn zich bewust van hun grote verantwoordelijkheid, nemen het verschijnsel cybercriminaliteit ook heel serieus en halen daarom zonder scrupules talentvolle veiligheidsmensen en topcyberagenten weg bij de overheid.
Google wil in de toekomst, net als andere grote internetbedrijven, al onze digitale informatie voor ons ‘bewaren’ in hun zogenaamde ‘clouds’. Hoe verstandig is het om al onze gegevens in handen te geven van zo’n bedrijf?
Glenny: Google zal die informatie niet ergens opslaan op één welbepaalde plaats, maar verspreid over hun wouden van servers. De servers die moeten instaan voor de opslag van de clouds zijn gigantisch. Op dit moment wordt er zo’n site gebouwd vlakbij de Finse hoofdstad Helsinki. In de zeer nabije toekomst zullen we inderdaad niet langer onze documenten bewaren op onze eigen pc of op de server van het bedrijf waarvoor we werken. Daardoor zullen we minder kwetsbaar zijn voor aanvallen van hackers vanuit cyberspace, want de cloudservers zijn bijna onneembare superbeveiligde vestigingen. Jouw pc verhoudt zicht tot zo’n cloudserver als een kluis in je lokale bank tot de Amerikaanse goudvoorraadopslag in Fort Knox. Hackers raken er dus heel, heel moeilijk in. Maar als één hacker er toch in slaagt om binnen te dringen, zit hij in een echt Walhalla aan informatie en is hij God.
De hackers uit uw boek lijken me daartoe best in staat.
Glenny: Ze zijn inderdaad heel goed in hun ‘job’. Hacker Max Butler, alias Iceman, raakt overal binnen. Op hem wil ik best al mijn geld inzetten. Vorig jaar is hij door een Amerikaanse rechtbank veroordeeld tot een straf van dertien jaar wegens hacken. Hij runde CardersMarket, een forum zoals CarderPlanet, en incasseerde met zijn kredietkaartfraude voor meer dan 85 miljoen dollar. Hij heeft ongelooflijke hackerscapaciteiten en is zonder twijfel de slimste mens die nu in de VS in de gevangenis zit. De dag dat hij vrijkomt, is misschien het moment aangebroken om je cloud bij Google leeg te maken.
Misha Glenny, Dark Market: cybercriminelen, cyberpolitie en onze veiligheid in een digitale wereld, Ambo, 320 blz., 22,50 euro, ISBN: 978-90-263-2274-7
© Jan Stevens