Internetkraken voor gewin leidt tot forse celstraffen
Twee jonge internetboeven kregen deze week celstraffen, maar hadden volgens de rechters lang genoeg in voorarrest gezeten. Justitie steunde vooral op internettaps van chats. De hackers leken vooral stoer te willen zijn - de buit bestond uit PSP's en Prada's - maar dat brak ze op.
Hoofdverdachte Sjoerd B. (20) uit Loon op Zand en medeverdachte Ferry C.K. (28) uit Rijswijk ontvingen deze week de tot nu toe zwaarste straf in Nederland voor computermisdaad. Op 30 januari 2007, bijna 1,5 jaar na hun daden, werden ze veroordeeld tot 2 en 1,5 jaar celstraf door de rechtbank in Breda. Het Openbaar Ministerie had langere celstraffen geëist, respectievelijk 3 en 2 jaar. Maar met aftrek van het voorwaardelijke deel van de straffen besloten de rechters dat de twee hun celdeur achter zich mogen dicht trekken.
Ze hadden al 11 maanden en 9 maanden in voorarrest gezeten. Dat komt evenwel niet helemaal overeen met de lengte van de onvoorwaardelijke celstraf, maar de rechter gunde het duo een nieuwe start in vrijheid. Daarnaast kregen ze ook nog kleine geldboetes: B. moet 9.000 euro betalen, C.K. 4.000. Ook dat was minder dan de eis van het OM. De verdachten B. en C. moeten ook de schade terugbetalen aan de Staat die respectievelijk bijna 17.000 en ruim 2.600 euro bedraagt.
Justitie schatte dat de verdachten met hun activiteiten in een half jaar samen 60.000 euro hebben verdiend. Dat klinkt als een laag bedrag voor wat het OM de grootste strafzaak over cybercrime in Nederland noemt. Dat is het toch, doordat de twee een zogeheten botnet beheerden van vele tienduizenden computers. Die waren besmet met door hen geproduceerde virussen. Met dat botnet zouden ze sites hebben platleggen, spyware of adware hebben geïnstalleerd en phishingaanvallen hebben uitoefenend. Maar dat allemaal bewijzen, bleek nog een flinke kluif voor Justitie.
De grootte van de zaak was niet overdreven. Botnets vormen een groot probleem, omdat de georganiseerde criminaliteit er gebruik van maakt, met verspreiding van spyware die financiële gegevens van pc's steelt. En met behulp van botnets worden websites platgelegd. Een van de grondleggers van het web, Vincent Cerf, noemde botnets onlangs zelfs een 'grote bedreiging voor de toekomst van internet'. Hij schat dat 25 procent van alle computers op internet al is besmet met een virus waardoor ze onderdeel van een botnet zijn geworden. Dat is niet misselijk.
Anders dan de 'Ddos-kabouters'
Het was trouwens niet de eerste keer dat in Nederland botnets onderwerp van een strafzaak waren. Dat gebeurde ook twee jaar geleden in de zaak van de 'Doss-kabouters'. Vijf jeugdige hackers, waarvan maar twee meerderjarig waren, legden toen met behulp van een botnet sites van de rijksoverheid dagenlang plat. Ze werden ervoor veroordeeld tot verschillende taakstraffen. De hoofdverdachte tot de langste, 240 uur. Het ICT-uitvoeringsorgaan van de overheid, ICTU, eist trouwens nog altijd half miljoen euro vanwege de vermeende geleden schade. De afwikkeling van dat proces over de schadevergoeding gaat nog lang duren. De advocaten van de Ddos-kabouters betwisten de hoogte van het bedrag, omdat er bijvoorbeeld de aanschaf van nieuwe computerapparatuur in mee is gerekend.
De zaak tegen B. en C.K. verschilt erg van die van de Ddos-kabouters. De laatsten claimden een politiek doel, terwijl B en C.K. sites dreigden plat te leggen om er geld mee te verdienen. Ook gebruikten de Ddos-kabouters hun botnet niet om adware of spyware te installeren. Noch probeerden ze inloggegevens van betaaldiensten te ontfutselen of bedrijven af te persen. Die beschuldigingen speelden in de zaak tegen B en C.K. wel.
Een ander verschil is dat bij de Ddos-kabouters de slachtoffers makkelijk waren te vinden - namelijk overheidsinstanties - terwijl de gedupeerden van B. en C.K. tijdens het proces vrij afwezig bleven. Het ging dan ook om vele internetters uit meerdere landen en een aantal Amerikaanse internetbedrijfjes die zelf ook een dubieuze signatuur hebben.
De verdachten 'werkten' op afstand voor deze bedrijven die advertenties verkopen op adware, stiekeme programma's die op slinkse wijze reclame vertonen. B. en C.K. kregen betaald per installatie van adware software, een praktijk die bekend staat als 'pay-per-install', door de bedrijven 180Solutions, en het Canadese zusterbedrijf Loudcash, Mediaticket en Yoursitebar. Geen bedrijven die zelf al te veel onder de aandacht willen komen, zo bleek, want geen van deze bedrijven deed in Nederland aangifte. Ook werkten ze nauwelijks mee aan de bewijsvoering.
Chats tussen ´detox´ en ´00´
De zaak tegen B. en C.K. komt in Nederland pas aan het rollen toen een systeembeheerder van het bedrijf Orit BV, waar B. als stagiair werkte, melding maakt van het ontvreemden van wachtwoorden. Dat meldt de systeembeheerder aan Sara, het wiskundig rekencentrum dat het Amsterdamse internetknooppunt Ams-ix, een van de druksten ter wereld, beheert. B. is tegen de systeembeheerder in een chat waarin hij de nickname 'detox' gebruikt uit de school geklapt over het stelen van gebruikersnamen en wachtwoorden. De systeembeheerder stuurt ook de IP-adressen van B. door aan Sara, dat het geval bij de politie meldt.
Dat moet ergens begin juli 2005 zijn geweest. Het internetverkeer van B. wordt dan afgetapt in het kader van een gerechtelijk vooronderzoek. Daarbij komt al snel aan het licht dat B. contact heeft met de latere medeverdachte C.K. Als nickname gebruikt B. 'detox' en C.K. heeft de schuilnaam '00'. De twee wisselen telefoonnummers en sms'jes uit waarin ze zichzelf verraden. Zo vertelt C.K. in een chat met B. dat hij respect had voor het detox-virus dat hij had geschreven, verwijzend naar een pagina bij virusbestrijder Symantec over het W32.detox-virus. C.K. downloadt ook een versie van het virus.
Toxbot straft Loudcash
Toxbot had volgens het OM destijds een botnet gemaakt van 50.000 tot 80.000 computers en ten tijde van de ontmanteling waren er inmiddels 'miljoenen computers' besmet. Toxbot maakt misbruik van een kwetsbaarheid in Windows en installeert zich als service onder een onopvallende naam. Vervolgens legt het verbinding met een IRC-server, zoals oxff.memzero.info. Vanaf dat IRC-kanaal kunnen B en C.K. commando's sturen naar de besmette computers. Een van de functies is volgens het OM een keylogger: alle toetsenaanslagen worden doorgestuurd naar het irc-kanaal waarop de verdachten actief waren.
B. mag dan Toxbot hebben geschreven, het is C.K. die van het botnet misbruik maakte tegen het adwarebedrijf 180Solutions/Loudcash. C.K. werkte voor 180Solutions, dat bekend staat om het verspreiden van adware. Hoe meer getoonde advertenties, hoe meer geld het 180Solutions oplevert. Daardoor looft het bedrijf internetters commissie uit per geïnstalleerde adware. C.K. is een van de mensen die hierop aast en hij heeft met het bedrijf contact onder de naam Bcuzz.
Loudcash stapte 1 augustus 2005 naar de FBI omdat C.K. haar zou afpersen. Als Bcuzz zegt hij in een chat met Loudcash dat hij nog geld te goed heeft, maar als hij als antwoord krijgt dat hij de voorwaarden heeft geschonden vanwege fake-installs en dus kan fluiten naar zijn centen, begint C.K. te dreigen. Nog geen vier minuten later wordt Loudcash getroffen door een Ddos-aanval die twee uur duurt. Meteen daarna stuurt C.K. het bericht 'it will stop now if you say i'll get the money'. Een minuut later stopt de Ddos-aanval weer.
De FBI verstrekt de chats tussen C.K. en Loudcash aan justitie in Nederland op 16 oktober 2005. Pas dan wordt er aan een arrestatie gewerkt. Dat is opmerkelijk omdat ook een 'aanzienlijk deel' van diezelfde chat al in augustus door de Nederlandse internettap is opgevangen doordat C.K. het chatgesprek met Loudcash weer in een chat met B. plakt, die toen al werd afgetapt. Moederbedrijf 180Solutions maakt overigens wel 3282 dollar over aan C.K..
Dat de verdachte ook echt het botnet en het virus gebruikte om duizenden ad- en spywareprogramma's automatisch te installeren, vonden de rechters niet overtuigend genoeg bewezen. Er ontbreken gevonden commando's hiertoe of bewijzen afkomstig van getroffen computers.
