LUISTEREN
Cyberhelden
AFLEVERINGEN
← Alle afleveringen
EP 59 · 40 minuten

Cyberhelden 59 - We gaan Terughacken

Mogen Nederlandse bedrijven straks terughacken? We bespreken de
Amerikaanse plannen voor 'Cyberletters of Marque'. Een controversieel
voorstel waarbij private bedrijven officieel toestemming krijgen om
cybercriminelen terug te hacken wanneer zij slachtoffer zijn geworden van een cyberaanval.

Daarnaast bespreken we een bijzondere casus waarin security professionals misbruik hebben gemaakt van hun positie in de incident response en ransomware industrie, ten behoeve van hun eigen gewin.

In deze aflevering:
- Wat zijn Letters of Marque en hoe werkt dit in Cyberspace?
- Hack-back wetgeving in de VS: kan dit in Nederland?
- Juridische en ethische implicaties van private cyber vergelding
- Wat gebeurt er als security professionals "rogue" gaan?

Bronnen:
- LocalMesh Noodnetwerk (https://localmesh.nl)
- Amerikaans voorstel voor terug-hack bevoegdheden (https://www.congress.gov/bill/119th-congress/house-bill/4988/text)
- BBC: Dutch police use unusual tactics in botnet battle (https://www.bbc.com/news/technology-11635317)
Afbeelding voor Cyberhelden 59 - We gaan Terughacken
SoundCloudApple Podcasts

TRANSCRIPTIE

whisper

Welkom bij alweer een nieuwe aflevering van Cywell, de podcast waarin ik in gesprek ga met mensen die zich bezig houden met de digitale dreiging. Mijn naam is Ronald Pritz, zoals altijd heb ik hier Marco Kuipers en Jelle van Haaster aan tafel, de virtuele tafel. En vandaag hebben we iets leuks, we hebben een ingezonden onderwerp van een luisteraar Thomas, ik zal maar anoniem houden. En dat gaat over de Cyber Letters of Mark, oftewel digitale Capersbrieven. Wat dat precies is gaan we straks dieper bespreken, maar het gaat erover dat Amerika bedrijven toestemming wil geven om terug te hekken.

Daar vond ik al 14 jaar geleden wat over en Jelle heeft heel veel research gedaan, wat ook zijn werk is. Die vond een hoop mooie, interessante historische context en dat gaan we straks allemaal uitgebreid bespreken. Maar eerst ben ik heel blij jullie weer terug te zien, vooral jou Jelle, dat was altijd een gevaarlijk weekje voor je. Ja zeker, het was wel lekker, lekker weer de berg in, lekker low tech, want Oostenrijk accepteert nog steeds geen al te veel goede betaalmiddelen op de piste. Dat je er gewoon een starlink systeemje neer zou kunnen zetten, maar ze willen allemaal bargeld en cashgeld en zo, dus dat was lekker low tech.

Jij wel gewoon dekking toch, dus overal typisch, het gaat gewoon om dat ze zwak geld willen. Privacy minnen de Oostenrijkers. Nee, nee, nee, het gaat om het belasting haten de Oostenrijkers waar jij aan mee hebt gewerkt. Oh no! Marco.

Ja, gaat goed. Ik heb afgelopen weekend zo'n Mezgoor repeat erop gehangen. Ik had hem een maatje van mij al die dingen besteld, waren voor het weekend binnengekomen. Toen ik zei dat ik aan het praten had. Nee, ik zal het even uitleggen, dus er is een alternatief radio protocol LoRa.

En daarmee, dus het is een soort off-grid protocol waarmee de Nederlandse community probeert een noodnetwerk in te richten. En ik heb dus ook zo'n kastje met een maatje van mij gekocht, of we hebben erbij, en ik heb hem dit weekend geplaatst. En toen kwam ineens iemand in de lucht met, hey, hallo, deel fv-06 nummer, dan kom je naar WhatsApp groep. Dus nu zit ik ineens in een WhatsApp groep met allemaal mensen uit Limburg die bezig zijn met Limburg te ontsluiten op het Mezgoor netwerk. Hartstikke leuk.

Vanochtend ochtend dat ding staan vastgegroeven aan mijn schoorsteen, omdat het niet hoog genoeg was in het... Niet hoog genoeg voor de line of sight met communicatie aan de overkant van de Maas. Hartstikke leuk om er weer mee bezig te zijn. Maar uiteindelijk kan je dus nu allemaal sms-achtige berichtjes met mensen in Limburg uitwisselen. Ja, en daarbuiten, want het netwerk wordt steeds groter.

Dus je ziet ook uit België komen ineens allemaal nodenstevoorschijnen naar Brabant. Dus het verspreidt helemaal zo. Het is echt geweldig. Hier is uit Afrika gebruikt boeren dat, de farmers die bang zijn voor overvallen. Die hebben ook allemaal van die leuke mesh-doosjes.

En dat is wat mensen misschien nog niet gelijk begrijpen, maar het mooie is dat het verkeer is wat hoppt via elke repeater. Dus door het heel vol in een wijk neer te zetten, kan je best wel grote afstanden uiteindelijk afleggen. Ja, absoluut inderdaad. Want het gaat van node naar node en het bij de komende voordeel is ook nog eens dat versleuteld is. Dus afluisteren is ook niet trivial.

Dus het heeft allerlei coole aspecten. Ja, waarom doe je dit? Waarom doe je hier aan mee? Nog een hobby? Ja, het is aan de ene kant is het dus omdat ik het initiatief local mesh heel tof vind.

Dat we een soort community driven node-netwerk hebben voor stijl. Er gaat iets mis in Nederland, dan hebben we nog een soort communicatienetwerk. En tegelijkertijd is het omgaan met die kastjes, met de firmware, antennes, radio waves. Het blijft altijd iets magisch en leuks vinden. Dus het is een hobby.

Heel cool. We gaan eventjes wat leuke nieuwtjes bespreken die ook allemaal voorbij gekomen zijn afgelopen tijd, voordat we gelijk de diepte in duiken. Marco, je zat me net iets heel interessants te vertellen. Ja, klopt. Het kan bijna niet onthoud zijn, maar de afgelopen week is er nog wat ophef over het feit dat Microsoft aan de FBI bitlockersleutels heeft gegeven.

Voor de mensen die niet precies snappen wat dat betekent. Bitlocker is het protocol van de benaming voor de versleuteling van je laptop van Microsoft. Van de harde schijven? Van de harde schijven inderdaad, ja. En het sleutelmateriaal, dus om dat te kunnen ontsleutelen en weer versleutelen uiteraard, kun je opslaren in de cloud bij Microsoft.

En het is gebleken dat Microsoft daar dus op verzoek van FBI dat sleutelmateriaal uit de cloud kan halen en dus kan afstaan. Waardoor de FBI hun taak kan uitvoeren, namelijk dan het ontsleutelen van een device en daarop de informatie zien. En... Dit is allemaal prima. Waarom is hier ophef over?

Ja, dat is een hele goede vraag. Dat is alsof mensen opeens denken van hoe kan dit? Terwijl eigenlijk, ja, het lag een beetje in de lijn de verwachting, want het staat volgens mij ook wel een klein beetje in de algemene voorwaarde. En wat interessant is, als je dat dan ook vergelijkt met bijvoorbeeld bedrijven als Apple. Apple heeft een aantal jaar terug een hele, noem je dat, rechtsspraak gehad of rechtszaken met de FBI, omdat zij de encryptiesleutels voor de iPhones niet wilden afstaan en de codes en ook geen zwakkrede wilden inbouwen.

Maar Microsoft, die doet het nu dus wel. En waarom is dit anders? Hoe verschilt dit? Hier ligt materiaal opgeslagen waarbij wat je kan vorderen als overheid en dat is denk ik anders dan in die Apple case. Maar ja, het is natuurlijk wel mensen denken van nou, ik zet er een dik wachtwoord op en dan kan er verder niemand bij.

En dan schiet je er even van als het blijkt dat je wachtwoord gewoon lekker meegebacked wordt in de cloud. Dat is wel link, want we hebben vorige week geleerd dat Microsoft ook niet heel goed op zijn spulletjes past en iemand kan een keer een mooie dump maken van alles wat daar is. Ik ben altijd nog steeds fan van de TrueCrypt. Het is gewoon heel oud, tegenwoordig de Vera Crypt volgens mij. Heerlijk, lekker gewoon helemaal voor jezelf.

Niemand komt eraan. En als je al in je wachtwoord per ongeluk kwijt met je master wachtwoord is het ook echt weg. Je krijgt wel een soort hoofdpijn van de backup policy zelf. Ja precies. Er zou moeilijk ook zijn.

Ik vind ook als je de sleutel van je kluis kwijt bent, is het al balen als iemand hem weer open maakt. Een half uurtje als je laatst zien dat hij de goede tool geeft. Dat is wel waar. Maar ook niet goed genoeg dan. Hey Jan-Jelle, heb jij dit ook meegekregen terwijl je op de piste stond?

Nee, niet zoveel. Het beperkt zich een klein beetje met low tech tooling zoals door NOS en nupe met tailscrollen, maar ik zag dat we tegenwoordig op moeten passen dat we niet Koning Filip in je videocall hebben als je een bestuurde of CEO bent. Op die zaterdag 24 januari was dat bericht vanuit VRT en NOS ook dat criminelen generatieve AI gebruiken om geld van je af te troggelen, namelijk de simuleren Koning Filip, de Koningshuis in België, om vervolgens bedrijfsleiders, Belgische bedrijfsleiders te overtuigen om een schenking te doen voor een gala diner. Dit is ook wel interessant want we hebben een paar weken terug die voorspellingen gedaan. Ik kan zeggen dat hebben ze geluisterd naar de podcast.

Ja, zeker. Dus dat is inderdaad een van de dingen die je met generatieve artificiële intelligentie AI kunt doen, is inderdaad makkelijker mensen nadoen en dat ze dat hier hebben gedaan. Dus er was eerst een campagne dat ze dit zonder datgene AI stuk deden, alleen maar berichten, mails, een beetje phishing en zo. Of niet phishing, meer gewoon cybercrime. Mensen proberen te overtuigen om geld over te maken naar iemand en dat ze nu dan ook nog nadat je de eerste mailcontact hebt, zie je uitnodigen voor een videogesprek waarin Koning Filip je vertelt dat hij echt jouw geld nodig heeft.

Maar dit werkt toch alleen in België? Sorry voor onze Belgische luisteraars hoor. Ja, maar ik zal ook hierover nadenken. Hoe verifieer je dit? Als je dat dus wel hebt, de eerste stap genomen, dan kun je al iets zeggen over van hey, woepsie, foutje gemaakt.

Maar hoe verifieer je in een videocall zeg maar dat de anderen daadwerkelijk zichzelf is en geen diepveek. Ja, dus hoe verifieer je je menselijke identiteit? Ik denk als je je vraagt om het koekjes recept van een oma. Kijken of dat dan aan de overkant in één keer een koekjes recept wordt opgenoemd. Ja, het is wel een gek gesprek.

Als je denkt dat je serieus met iemand aan het praten bent, die toch een beetje hoger in een hiërarchie zit om te zeggen van ben jij het wel echt? Vertel eens hoe heten je kinderen? Hoe heten je eerste docens? Wat was je huisdier als kind? Dat is wel.

Ik denk dat je onze koning Willem-Alexander kan er primaire aankomen zetten. Die zou dat wel trekken en die snapt het ook. Ik vind zelf, zag ik voorbijkomen, toch weer die nieuwe discussie over, we hebben bijna een kabinet, dat er misschien toch weer een minister van digitale zaken slash veiligheid gaat komen. Alleen D66 heeft dat misschien heel explicieter ingezet in hun verkiezingsprogramma. Maar goed, kabinet komt er bijna.

Ik zit er altijd een beetje over na te denken. Ik heb mezelf ook al voor gepleit vroeger, maar dat was eigenlijk meer uit frustratie. Dus ik gewoon vond dat kabinetsleden er wat meer aandacht voor moeten hebben. Als je diep op inzoomt, zie je ook wat moeite heeft, wat dat problemen gaat geven op het moment dat je minister van digitale zaken hebt. Want digitale zaken zitten overal in.

Dus dan zou je opeens weer ook gaan over beleid, zoals lokaal op een ministerie wordt uitgevoerd. Volgens onze grond gaat ook een minister over zijn eigen departement. Ik kan er niets over zeggen, maar ik zat wel te denken, de analoog van de Delta Commissaris vind ik altijd wel mooi. Dat is dus na dat we last hebben gehad van stormvloeden en stukken van Nederland onder water stonden, hebben we een Delta wet en Delta plan en alles gekregen. En onderdeel daarvan was de Delta Commissaris.

En op basis van een wet dan die gemaakt moest worden en een hele hoop geld, kon hij, een van hem was Wim Kuiken, een man die ik hoog heb zitten. Die heeft dat toen uitstekend gedaan. En dat is ook een soort problematiek, waarbij je als je snel dijken wil neerzetten, dan moet je allerlei vergunningen ook krijgen. Je moet gemeentes meekrijgen, provincies meekrijgen. En dan heb je, als je dat gewoon in normale procedures verafloopt, zou het veel te lang duren.

We hadden nu nog steeds niets. En ik denk dat het digitale water ook wel erg hoog staat en dat het tijd is dat we op die manier aan de gang gaan. Het is eigenlijk een soort Cyber Commissaris. Cyber Commissaris bijvoorbeeld, ja. Alitereert ook lekker, Cyber Commissaris.

Charlie Charlie. Heb je dan iemand, denk je, nodig die dan meer ook technisch onderlegd is of die meer het bestuurlijke vlak dan ook kent en heel hard trekt? Ik denk wel weer de combinatie, we hebben laatst ook een keer over gehad. Je moet ook de politiek wel snappen hoe je dingen moet doen. En het is misschien eigenlijk belangrijker nog dan dat je technisch goed bent en je moet wel in straat zijn om te luisteren.

En je weet het omringen door mensen die het echt snel bij de open voor staan en de boodschap willen om te zetten. En dus ik denk nu ook met de hele discussie weer over Solfinity en digitale soevereiniteit is nu eindelijk de tijd rijp dat er misschien toch een ministerspost of een commissarisrol gaat komen. Dus ik hoop het, we gaan er nu uitkijken met het aankomende kabinet. Oké, dan gaan we naar een van onze hoofdonderwerpen en dat zijn de Cyber Letters of MARC. Niet Marquet toch Jelle?

Ik twijfel altijd over deze. Ik zie geen streepjes op die... Eeh, ik hou maar op. Maar goed, we hebben een mooie vertaling van digitale capersbrieven. En in basis komt het erop neer van, moet de bedrijven ook maar een rol krijgen die normaal wordt voorbehouden is aan de overheid en dat is gevechten aangaan.

Dat geweldsmonopole ligt bij de staat en dat hebben we juist weggehaald bij burgers. Nou in Amerika is de discussie over en Jelle heeft het helemaal uitgezocht voor ons en gaat ons inwijden in dit boeiende thema. Ja, zeker. Dus van Thomas kwam de vraag inderdaad of we hier eens naar zouden kunnen kijken. En collega's van de vakantijd Militaire Wetenschappen hebben ooit in de marineblad hier een hele discussie over gevoerd.

Ja, zo letter of MARC is dus eigenlijk de capersbrief zoals we die vroeger ook kenden. Dus je gaat als staat, ga je brieven geven aan bedrijven, dus in dit geval mensen die schepen hebben en bewapende schepen hebben, om die vervolgens handelingen te doen die normaal jij alleen als overheid mag doen. Dus wat Ronald zei, het geweldsmonopolie, dus dat jij geweld mag toepassen in naam van de staat. Met dan wel die brief waarop staat, hey ik mag dit. Ja, dit komt in Nederland dus voor in de Bataas-Franse tijd.

Dus toen we een soort gemeente waren van Frankrijk, de marine was op dat moment te zwak om de Engelse dreiging te weerstaan. Dus we hadden in een periode heel veel schepen verloren. Toen dachten we van, fuck, dit gaat niet. We hebben meer schepen nodig dan we kunnen aanmaken en wacht, het bedrijfsleven heeft misschien het vermogen om snel flexibel aan te passen. Gewoon een paar gewone schepen pakken, daar wat kanonnen opdouwen, wat marineers aan boord, om vervolgens die Engelse schepen en de kaapvaart te stoppen en de Engelse economie te raken daarin.

Vandaar een soort publiek-privaat samenwerking in een bepaald bedrijfje, de Bataasse Kaaprederij, waarin we als overheid dan als 29ste inzaten, dus als aandeelhouder. Lekker Nederlands construct natuurlijk, bedrijven met aandeelhouders. Die ging op een gegeven moment aan de bak met officiële kapersbrieven. En die hadden een aantal schepen ook gekaapt, in het wat moeilijke doorgaanbare water voor grote linischepen. Dus de overheid had van die enorme schepen, die konden moeilijk optreden in kustwateren.

En die kaaprederij had wat kleinere schepjes die daar wat flexibler en sneller op in konden spelen. Dus die ze ook sneller aan konden maken. En dus die kaapvaart is een hele tijd een instrument geweest voor overheden om snel in te spelen op een dreiging. Maar ze mochten dan een andere boot torpederen naar de bodem laten zakken of kapen en enteren en alle goederen eraf halen? Ja, dit dus.

Dus ze mochten inderdaad, het idee was wel waarom zou je kelderen het schip als er aan boord allemaal mooie goodies zijn en goederen zijn die je kunt verkopen. Dus hoe het dan ging, inderdaad ze kaapten het andere schip, ging aan boord, nam het schip mee en vervolgens was er een heel bureaucratisch proces om aan te tonen dat de naming, zo noemden ze dat, de naming van het schip legitiem was. Dus eerst moest het langs een soort rechter, vervolgens moest het langs de veilingmeester, zodat de schip wat genomen was verkocht kan worden. En vervolgens kon iedereen naar huis gaan met die mooie winst die je overhield aan het kapen van een ander schip. Kreeg ze dan ook een soort rules of engagement mee of was het zo van oké, het is besloten we gaan dit schip te grazen nemen, go.

Ja, geen eens dat besluit over we nemen dit schip te grazen, want de communicatie was in die tijd natuurlijk nog het grote probleem. Hoe ga je een schip op zee nog bereiken? Dus vandaar ja, postduif naar een schipstoerje sturen, misschien zoiets, geen idee of dat zou werken. Maar tegenwoordig heb je niet de middelen om vanaf aan boord met die schepen op zee te communiceren. Dus je moet ze een zekere flexibiliteit geven om te handelen naar eigen bevindingen, eigen inzicht.

Dus vandaar dat ook alles vervolgens getoetst werd. Met inderdaad ook in de rechtszaal vervolgens dat degene die zijn schip verloren was, mocht tegen de nemer van het schip pleiten om aan te tonen van, he jij hebt iets fout gedaan. Ik was namelijk tijdens de neeming onder Nederlandse vlag en had je dit niet mogen doen. Het was een heel bureaucratische proces om dit te reguleren en omdat het een beetje spannend is... om iedereen maar zijn koninklijke gang te laten gaan.

Best wel keurig georganiseerd dus? Keurig, Nederlands georganiseerd met een heel lang loofend proces. En dat merk je ook dus dat de Kaaprederij ook wel zaterd van dit duurt zo lang voordat je je geld eindelijk hebt. Ja, want dit soort processen met rechter, met het publiek verkopen van die goederen, het vinden van de ijzer en de verweerder, dat duurde dus heel lang. Dus had je net een fijne boot gekaapt of genomen en dan vervolgens ging je die hele bureaucratische molen in.

Maar als dat toen al zo bureaucratisch was, we maken dan eventjes alvast een klein sprommetje vooruit. Hoe zou dat dan nu... Hoe verwacht je dan dat dat werkt in de huidige tijd waar we toch ook vaak van dit soort processen inrichten? Ik vind het wel mooi in dat voorstel van Zweigert, die is uit House of Representatives, daar gaat het ook over dat je een soort borgesom aan moet brengen bij de overheid. Dus wat hij voor voorstel heeft gedaan is dat bedrijven in de Verenigde Staten, op basis van zo'n commissiebrief of zo'n kapersbrief, een digitale kapersbrief, dus buitenlandse criminele groeperingen mogen hacken.

En dat ze daarvoor een borgestelling moeten inleveren bij de overheid. Dus om ervoor te zorgen dat jij je aan de regels houdt. Hetzelfde hoe wij dat dan in Nederland hadden georganiseerd achteraf, allerlei regels en bureaucratie, zegt ze nu van nee, voordat jij gaat hacken, moet je eerst een enorm bedrag bij de overheid, en het staat niet een enorm bedrag, maar ik vermoed dat het om een enorm bedrag gaat. Ieder van de drempels wil dat niet iedereen maar los gaat. Ja, dat zeker.

Dus als je stoute dingen doet dat de overheid dan zegt, je krijgt je borgen niet terug. Hetzelfde als je op vakantie natuurlijk een borgen doet zodat je niet het hele huisje sloopt. Hebben ze dat hier een soort van ook een borgen zodat je niet het hele internet sloopt? Is dat dan de 50 cent uit het winkelkarretje? Of is dat...

Ik denk ook, als je kijkt naar de grootte van bedrijven, dat je hier wel iets moet doen wat pijn doet. En dat het al snel gaat over grote sommen, denk ik wel. Of misschien als het heel gemakkelijker kan maken. En voor wat voor soort bedrijven is dit dan voorgericht op de slachtoffers? Die kunnen zelf niet zoveel terugrekken.

Dus eerder cybersecurity bedrijven. Maar wat is voor hun dan het verdienmodel? Hoe gaan ze hier aan verdienen? Ja, dus het verdienmodel hier aan, dat is echt wel heel onbekend hoe dat er uit gaat zien. Bij Kaapvaart was het in de zaad...

En mogen ze houden wat ze tegenkomen? Ja, dit staat er allemaal niet in. Het is dus echt een heel klein tekstje van twee à viertjes ongeveer wat erin staat. Maar dat is dus die interessante parallel. Bij de Kaapvaart, bij de originele Letters of Mark, had je inderdaad dat de overheid en de Kaaprederij...

Delen in de winsten die ze doen, de goederen of waar ze zicht op hebben. Maar je merkt wel in de discussie hierover dat het waarschijnlijk zal zijn dat dit als bedrijf... Kun je dit ook als dienst aanbieden. Als jij een cybersecurity bedrijf bent dat terug kan hacken, dan zou je kunnen zeggen... Van naast dat wij je IDR, je antivirus, je hele systeem veilig houden...

Kunnen wij ook daadwerkelijk dus een dreiging tegen gaan door even een server uit te zetten. Dus dat het zoiets is. Dus dat je een deel van het hele podium uitvoert. Maar ik kan me wel voorstellen met wat wrensen weer aanvallen die we de laatste tijd gehad hebben. Toen in Rijswijk dat laboratorium, wat heel veel Nederlanders opeens gevoelig gegeven, zeg maar.

Ja, ik kan me voorstellen dat je zegt van ja, ik ga gewoon kijken door wie het gehackt is. En moet straks maar even ingaan op hoe technisch dat dan allemaal wel of niet kan. En dan ga ik zorgen dat de data die ze hebben, dat die ook echt verwijderd wordt van die harde schuifvaar. Maar er moet wel iemand voor betalen. Maar goed, ik kan me voorstellen...

Ja, dat kan ook. Normaal is het ook lastig om een bedrijf als overheid te betalen om handelingen die binnen het geweldsmonopoly uit te laten voren. Dus heb ik wel een fictief voorbeeld dat je focacité betaalt om rust te hacken of binnen te dringen. Dat vinden we in Nederlandse context natuurlijk complex. Van met toezicht, met juridisch, mag dit, hoe doe je dit?

En met letters of mark doe je dus ook, of de capersbrief... Een deel van je geweldsmonopoly outsourcen naar het bedrijfsleven. Dus het is ook een juridisch trucje zodat het voor overheden en andere bedrijven makkelijker wordt om het bedrijfsleven een soort van voor overheidsdoelheinden in te zetten. Dat is normaal voorbehouden inderdaad aan, wat je al zei, de zwaartmacht, politie en of defensie om geweld toe te passen. Wel verleidelijk als je ook zegt van als je dan bij bijvoorbeeld renteweeraanvallers naar binnen gaat en je komt bitcoins tegen, mag je ze houden?

Ja, dan kom je in feite bitcoins tegen die gestolen zijn misschien wel voor je eigen klanten die je eerst niet zo goed beveiligd had. Ja, dat zeg ik ook bij de Bybit Exchange enzo dat die gehacked werden. Dat die ook zeiden van hey als iemand ons kan helpen om het geld terug te krijgen, mag je 10% van de bitcoins houden. En dat ging daar over miljoenen. Dus er is een verdienmodel te maken.

Maar dit gaat verschrikkelijk escaleren dan? Ik zou zeggen gaat iedereen dan nog net zo goed alles beveiligen als je dan ook weet van hey als we het nou net niet goed genoeg doen, dan hebben we weer geld want we kunnen een update pushen en we gaan terughacken. Ja, het is heel veel macht bij een bedrijfsleven neerleggen en bij mensen die kunnen handelen. Dus je hebt hier bedrijven inderdaad hier heel goed in zijn en heel veel weten wat ze kunnen, waar de lekken zitten, waar de onveiligheid zit en weten hoe ze geld moeten verdienen en zoveel mogelijk geld moeten verdienen. Dus het is wel interessant om te zien wat dit doet met het bedrijfsleven.

En in de Verenigde Staten zie je ook steeds meer bedrijven dan adverteren met van we hebben ook een soort offensieve security tak nu die we oprichten. Dus toen dit wetsvoorstel een klein beetje uitkwam, dat Google ook rapporteert dat ze een disruptive of disrupt capability aan het bouwen zijn. Ja, dat is wel interessant dat je dat soort bedrijven die de wereld veiliger willen houden dan ineens heel assertief inspelen op zo'n ontwikkeling. Maar goed, dat noem je dan toch for defense of zo? Active defense of hun forward missies.

Maar het heeft nog steeds een defensief doel, maar de beste manier om soms jezelf te beveiligen is toch een aanval. Ja, zeker. Heb jij daar ervaring mee, Roland, met Fox of andere voorbeelden? Ja, maar dat was dan niet in de sfeer zoals met die capersbriefen dat je ook mocht houden wat je vond en zo. Maar we hebben heel lang geleden, denk ik 2010 of zo, een groot botnetwerk waar miljoenen en miljoenen botnets aangestuurd werden vanaf een cluster wat we konden overnemen.

Hebben we toen samen met het OM, of dat is onder toezicht van de OM, met de politie erbij ook gedaan. Maar daar waren we eigenlijk de handjes, zeg maar, van justitie omdat ze misschien toen zelf nog niet de ervaring en expertise hadden. Het heeft toen wel al heel veel internationale commotie. Ik kan me nog een grote BBC artikel herinneren met de kop van Unconventional methods used by Dutch police of zo om een botnet plat te leggen. Een brede lab is zelfs iemand opgepromofeerd van waarom dat allemaal niet kon.

Uiteindelijk was het wel heel erg effectief, want het is natuurlijk ook, het was ook een, als je bij zo'n controlcentrum binnenkomt, die heeft daar, die machine heeft de macht over alle bots. En die staan gewoon bij mensen thuis, dat waren hun eigen pc'tjes waar man weer op draaide. En de snelste manier om dat eraf te halen is gewoon met een removecommando vanuit het centrale punt. Maar ja, als je heel erg op de letter kijkt, zie je dan in feite computervereniging brugte plegen op al die computers overal in de hele wereld. En dat is een heel goed doel, maar juristen die vonden dat toch wel lastig.

Maar als je het gaat vergelijken met, ja, er staat een huis in brand en je ziet iemand achter het raam staan, dan ga je die ook redden. Moet je ook huisfredebreuk eerst plegen om die persoon eruit te halen misschien. Iedereen vond dit een goede analoog. Maar die discussie leeft dus al een tijdje, maar eigenlijk vind ik, ja, moet je niet zoveel privé bedrijven hiermee vermoeien. Of je moet ze binnenhalen zoals Amerika dat doet als contractors, dat ze dan onder het gezag van de overheid dat doen met alle toezichten, zowat het omheen hoort.

Ik denk dat de feitelijke discussie meer zou moeten zijn van hoe ver wil je gaan in het terughekken? Van hoeveel? De diensten hebben artikel 73, dus jullie mogen, jullie, sorry, jullie zijn al lang weg. De diensten die mogen, nou ja, laat ik maar zeggen, handelend optreden om dingen te voorkomen. En daarbij mag je ook soms wel de wet overtreden om dingen te doen.

En ik vraag me altijd af in hoeverre dat we dat echt durven in te zetten, dat artikel 73, dat was in ieder geval niet iets wat je als toezicht orgaan hoeft goed te keuren als dat werd gebruikt. Dus of het gebruikt werd, weet ik niet. Marco vindt het interessant. Nou, wat ik vooral interessanter ook aan vind is als je dan kijkt naar ransomware bijvoorbeeld, in hoeverre heeft de inlichtingdienst de tijd en de middelen om, zeg maar, dat hele spectrum ook te bedienen. Als we dan kijken naar Nederland en Europa en de belangen en dan alles wat er tegen gebeurt, dan heb je de geopolitiek strategisch vlak, dan heb je de cybercriminaliteit.

Je krijgt wel de keuzes van de vraag waar moet je dit beleggen? En voor welke soort delicten moet je dit doen? En als er van de helft van Nederlanders persoonlijke gegevens ergens gestolen zijn en ergens in een ander land liggen, dan is het geen nationale veiligheid, maar ergens schuurt het misschien wel een keertje tegenaan of zo. Als dat het niet gebeurt. Maar dat is wel reactief.

Dus dan zit je wel, zeg maar, dan is het al gebeurd en dan ga je proberen het nog een soort van pleisjes te plakken. Dus dan kom je ook bij een andere vraag die ik heb van met deze letters of mark, van kun je ook dit soort preventief doen? Dat je zegt, voorgoor, we weten dat de wereld last heeft van Shahe Hulu bijvoorbeeld. Gaan we preventief hier bedrijven opzetten om het tegen te werken? Ja, ik denk dat dat...

Uiteindelijk zie je bij de politie bijvoorbeeld, wordt vaak nagedacht over modellen, ook voor criminelen die bijvoorbeeld met, als die bij jou in de buurt allemaal Marko met synthese drugs en zo bezig zijn, moesten ze voorkomen dat dat daar maar blijft groeien. En dat is moeilijk maken dat je aan bepaalde middelen kan komen en zo, om grondstoffen, om dat soort dingen te doen. En de buurt informeren van als je rare bewegingen ziet, of je ziet blauwe containers en dan belt dit nummer. Dus ze hebben allemaal barriere modellen, dat is de woord wat ik zocht. En dat soort dingen zou je digitaal kunnen doen als je ziet dat er ergens een aantal criminele servers de lucht inkomen, dat je het hun gaat zitten een beetje terugpesten of zo.

Zodra je ziet dat ze zich om Nederland richten, nou gelijk zorgen dat die getakedowned worden als dat voorbel kan en anders doe je het maar technisch. En dat zou ik dus daardoor denken van dan vallen we in Nederland maar niet meer aan. Maar wat ik mij zelfs aan het vragen. Ja, inderdaad. Marko, praktisch denk jij dat het een elite groep van hackers ook in de praktijk zal lukken om, als ik nu zeg, we zien deze aanval, die komt hier vandaan, die heeft iets van spoor met IP-adressen.

Hoe goed lukt het je dan ook om binnen een redelijke tijd, twee weken, daar binnen te zitten en dat ook allemaal plat te krijgen? Ja, dat is een goede vraag. Ik denk uiteindelijk als je echt hele goede mensen bij elkaar zit in de kamer, dan gebeuren de magische dingen en dat kan er binnen twee weken echt een hele hoop gebeuren. Alleen het is van zoveel factoren afhankelijk. Als het zeg maar drie lui zijn die met een individuele laptop je altijd bij de Starbucks zitten en op die manier handelen, wordt het natuurlijk een stuk lastiger dan dat je echt een stuk infrastructuur hebt, waar je bijvoorbeeld die command control servers, hoeveel zicht heb je al, weet je waar ze zitten.

Maar in the end, twee weken lang met hele slimme mensen bij elkaar, ook een stukje definitief. Dat is echt goed, dat kom je er wel. Er zijn veel mensen die denken van, ja, je moet een beetje mazzel hebben als je er eens een keer binnen wil komen. Maar soms moet je je mazzel forceren en dat gaat met twee weken tijd met heel veel slimme mensen bij elkaar gebeuren. Maar het is wel een goede inderdaad, die naïviteit over dat hacken altijd moeilijk is en attributie zo ontzettend moeilijk is, dat het wel steeds helder is.

Hacken, je hebt zoveel mogelijkheden tegenwoordig, ook door die kwetsbareheden waar het allemaal over hebben gehad en alle data die we er tot beschikking is online. Maar ook dat attributie is complex, het kost tijd, energie en het kost wat mensen. Maar attributie lukt heel vaak ook wel, zeg maar. Dus dat hele idee dat attributie onmogelijk is, ja, technische attributie is mogelijk. Wat je er vervolgens mee doet, dat je weet dat het uit een bepaald land is, dat is het meest complexe stuk vaak.

Maar tegenstanders van dit soort nieuwe ideeën, die zeggen wel gelijk van ja, maar jij kan ook doen alsof je uit Noord-Korea komt en terwijl je eigenlijk uit China komt, waardoor je dus misschien in het verkeerde land zit aan te vallen. Ja, dan denk ik, dan klopt je technische attributie niet helemaal. Dan denk ik inderdaad, attributie die we weten allemaal dat internet aan elkaar hangt van VPN'entjes en hops en dat we best wel veel werk moeten doen om al die stapjes terug te resisteren. Maar dat is een soort bekend feit. En alsnog lukt attributie vaak ook wel, doordat je niet per se kijkt naar door welke landen wordt het allemaal gerouteerd, maar dat je ook gewoon kunt kijken hoe is deze meldwerk gebouwd, hoe zit die in elkaar, welke artefacten zitten erin, welke gedrag doet dit, welke TTP's.

Ja, of je zet gewoon de webcam open, je kijkt even wie er achter het toetsenwoord zit. Zeker, dan hoef je geen hopjes te volgen over de hele wereld, dan ben je gewoon een webcam ook aan het zetten. Dus dat we het vaker moeilijker maken dan het vaak is. Ja, je kunt ook altijd wel een beetje voorzichtig afleiden wie het is op basis van welke targets ze hebben, toch? Noord-Korea zit heel erg op het financiële wezen bijvoorbeeld en China zit niet.

Ja, maar dat is toch wel te soft om te zeggen van, ik weet niet zeker welk land dat is. Oh nee, zeker weten, absoluut. Maar goed, dat is ook belangrijk. Kijk, soms maakt dat helemaal niet uit dat het doodland komt. Je ziet gewoon criminele hosts die draaien om iets aan te vallen.

Ja, aan wie het is maakt niet uit, je zet ze gewoon uit. Dat vind ik dus wel, inderdaad. De klap die je krijgt uit het donker, zeg maar. Ja, als je een klap op je achterhoofd krijgt, dan is het beter om gewoon een hoek naar achter te geven of zoiets. Je weet zeker dat je geslagen wordt en dat iemand je shit aan het kapotmaken is.

Ja. Dus waarom zou je dan, het zal onwaarschijnlijk zijn dat er een ziekenhuis achter zit of een heel vliegveld of zo. Dat betekent, we worden toch geen vrienden meer in de internationale omgeving. Alleen Europa. Wat is de conclusie dan?

We moeten gewoon elkaar weer gaan terughekken. Ik vind het een interessant model dat je een nieuwe manier hebt die erbij hebt. We hadden een tijd de cyberreservisten, dus dat mensen bij het bedrijfsleven zitten, maar ook ingehuurd worden door Defensie. Je hebt in Oekraïne een heel model met de IT Army. Dat is een soort paramilitaire groepering die de overheid steunt bij cybersecurity en cyberaanvallen.

En dit is een soort gereguleerde, iets wat bureaucratische, westerse variant eigenlijk die je in Rusland en China ziet, waarbij eigenlijk gewoon het hele bedrijfsleven soms in dienst staat van een officieven cyberprogramma. Dit is een soort nette, westerse oplossing. Maar ik zie het niet als de oplossing ergens voor. Ik zie het wel als iets wat we misschien weinig aandacht hebben gegeven, en wat je nu ziet dat het wel een soort attractie krijgt, dat je dus een deel van je geweldsmonopoly outsourced naar het bedrijfsleven. Maar aan de andere kant, hier zitten zoveel haken en ogen aan met alles wat jullie ook noemden, dat je bedrijven hebt die de oplossingen zijn, maar ook het probleem vervolgens kunnen worden.

Dus dat het wel heel veel macht beleg is bij bepaalde actoren die soms al heel veel macht hebben. Ronald, ik zou proberen zoveel mogelijk weg te houden bij bedrijven uiteindelijk, maar wel... Bij mij mag opnieuw die discussie over de waarde van terughekken, dat we dat hele concept weer naar voren brengen van in plaats van het alleen maar gaan onderzoeken en via traditionele manieren proberen te gaan vervolgen. Dat je nu zegt van nou, we zien dat die machines van allemaal stoute dingen aan het doen zijn, ze hebben ook geen ander doel, dus we gaan ze gewoon uitzetten. En als het natuurlijk gewoon komt uit Duitsland waar we prima contact mee hebben, dan bellen we hun autoriteit op en zegt ze, halen jullie ze uit de lucht of moeten wij het doen op afstand?

En ik denk dat dat dan weg is die je best kan bewandelen en heel vaak staan machines alleen op een plek waar je daarom hebben die aanvallers ook daarvoor gekozen, waar je geen relaties meer hebt. En dan heb je ook niet veel anders om te doen. Maar ik denk wel dat de overheid het moet doen of dat het contractors zijn die onder de vlag van de overheid dit soort dingen doen. Dat lijkt me het beste. Wat vind jij, Marko?

Ik denk dat we het gewoon een keer moeten proberen, want ik zie alle haken en ogen en ik begrijp de voor's en tegen's. Ik denk misschien nog eens een keer in het huidige klimaat gewoon doen met strikt toezicht van de overheid. En dan ja, leren uit de praktijk. Dus gewoon de let's do it, Nike? Ja.

Ja. Ja, dat eindelijk wel. K-FART is natuurlijk afgeschaft. In 1856 is er een conventie geweest dat we als Europese landen allemaal hebben gezegd, K-FART doen we niet meer, want er gebeurde een beetje te veel ongelukken mee. Maar ik denk dus wel, de reden dat toen afgeschaft was, is dat er te weinig controle op was.

Ik denk in moderne tijd, moderne communicatie middelen, dat niet per se de les uit 1856 nu onverkapt voor toepassing is op cyber K-FART in de 21ste eeuw. En dat is natuurlijk ook veel meer in de fysieke space, het is digitale space. Oké, jongens, we gaan even naar het volgende onderwerp. Ja, het volgende onderdeel. En ook wel een best wel interessante casus, want er waren namelijk twee Amerikaanse cyber security professionals.

En die hebben schuldig gepleit voor de Black Cat ransomware. En wat maakt deze casus nou interessant, is dat ze eigenlijk allebei security professionals zijn. Dus Ryan Goldberg, 40, uit Georgia. Hij is een incident response manager bij een Israëlische bedrijf, Cygnia. En dan heb je nog Kevin Martin, 36, uit Texas, die een ransomware onderhandelaar is bij Digital Mint.

En dus nog een derde ongenaamde persoon. Ja, wat is eigenlijk wel... Maar wacht even, het zijn mensen die dus in deze business zitten, die dagelijks hun geld verdienen aan het bestrijden van criminaliteit, die gewoon zelf keihard mee zitten te doen? Nou, dit is wel waar ze zich schuldig voor hebben gepleit inderdaad. Dat ze dus eigenlijk heel precies wisten wat bedrijven wel en niet doen.

En dus ook al de space kennen, de tools hebben en de kennis. En ja, dus ook inderdaad een beetje compromise hebben veroorzaakt met de Black Cat ransomware groep. Om dan zelf ook weer in die rol van incident manager en onderhandelaar te duiken en zo een beetje een dubbelagent rol te spelen. Ik wist ook niet dat bestond de rol ransomware negotiator. Ja, dat is een ding inderdaad.

Die ransomware groepen hebben vaak echt een soort helpdesk. Dus dan zit je ook echt in het chat en dan zijn ze een soort van supportive in jouw endeavors om de ransomware threat tegen te gaan. En dan zit je echt met een soort eerste lijns helpdesk bij je aan het communiceren. En daar komen die negotiators ook in, want je kunt vaak een tegenbod doen. En wat ga je dan tegenbieden?

Dan krijg je een soort makelaarsonderhandelingen. Dus ja, een heel apart space waar als je dus heel veel kennis hebt, je dus ook daar misbruik kennelijk van kan maken. Dus de Black Cat groep, die betaalden dus 20 procent van de ransoms aan de lui die de beherden doen en de uitbuiting. En ja, uiteindelijk hebben dus die twee gasten, of eigenlijk drie moet ik zeggen, verschillende Amerikaanse bedrijven te grazen genomen of daar in ondersteund en data gestolen en ransomware gedeployed. En ze hebben zelfs 1,2 miljoen aan bitcoin van één slachtoffer gekregen.

Dat is eigenlijk nogal wat vergelijklijk. Ja, het is echt heel bizar. Dan weet je toch echt heel fout als je bij zo'n bedrijf zit en dan ook nog denkt. Ik ga ook nog een keer de klant naaien door extra toegang aan een ransomware groepering te geven, terwijl je fricking ransomware negotiator bent of zo. Dat is gewoon evil of is het gewoon echt crimineel?

Het is wel wat ik erg vind vanuit de cybersecurity-industrie. Hoe vaak ik wel niet van klanten de vraag heb gekregen, die liepen dan een keer bij ons rond en dan zien ze al die jongens die er niet zo uitzien zoals op zijn eigen kantoor, maar iets meer staarten en hoedies en weet ik van allemaal. Ja, maar hoe kan ik dan deze jongens vertrouwen? Ik ga jullie toegeven tot al mijn grote geheimen en waarom lopen zij er niet mee weg? En dan zeg je altijd, maar het is nog heel kompas dat soort dingen waar we vorige keer ook over hadden.

En deze mensen zitten hier om het goede te doen. En nu blijken ze uiteindelijk dat er wel inderdaad wel degelijk security professionals ook aan de andere kant zitten. Het is ook heel erg verleidelijk. Ik ken ook Nederlandse ransomware onderhandelaars en die weten van tevoren al. Nou, het is deze groep.

Even kijken wie er aan de lijn komt aan de andere kant om het onderhandelproces te doen. Bij deze moet ik zo aanpakken, deze moet ik zo aanpakken, maar andersom precies hetzelfde. Jongens die dan in Rusland zitten waar ze mee aan het chatten zijn, die kennen ook de onderhandelaars in Nederland. En ja, uiteindelijk, het is een beetje, oh, dan krijg ik een kusje met iedereen, maar de makelaarswereld, wat ook heel fuzzy en vaag is en waar niet-transparante mensen met elkaar dealtjes maken over je rug heen. Dat zie je ook.

Nou ja, ik snap, de mensen die ik ken, die zullen dat nooit doen, die vertrouwen ik ook. Maar ik snap dat mensen ook wel toen dachten van ja, maar hoe weet ik nou zeker dat het eerlijk is en dat je het niet op een akkoordje gooit en dat jullie een paar procent krijgen ook weer van wat er afgedragen wordt. En het gebeurt blijkbaar echt en het is ook wel verleidelijk, ja. Hoeveel straf gaan ze krijgen, Marco? Ja, dus ze kunnen maximaal 20 jaar krijgen voor deze vergrijpen.

En 12 maart aan het staan is de uitspraak gepland. Dus ik denk dat we met elkaar in spanning moeten afwachten wat er gaat gebeuren. Ja. Ja, gaat dit nou nog gevolgen hebben voor bedrijven die wij allemaal een warm hart toe dragen, die ook in dit werkveld zitten? Ik ben benieuwd, want uiteindelijk, denk ik, twee kanten op of het is even een hele korte beep, zo van oh, dit is gebeurd en we vallen erover met elkaar en dan daarna gaat het weer een soort van terug naar de baseline.

Of we gaan inderdaad al die bedrijven tegen de licht houden en er gaan misschien 18-grond checks en dat soort zaken geëist worden voor de mensen die bijvoorbeeld die onderhandelingen doen en in deze space zitten. Want ja, het zijn wel... Maar tegelijkertijd gaat het zo'n jaar ook al goed met alle andere werkvelden die we hebben, met mensen die research doen voor security-organisaties en daarin ook niet zomaar willekeurig gaan hacken op het internet voor hun eigen gain. Dus ik hoop echt dat dit een soort van drie outliers zijn die, ja, dat we het ook zo kunnen beschouwen, hoop ik, maar ja, we gaan het zien. Ik weet één voorbeeld nog van in Nederland toch, een jongen die ook aan een securitybedrijf werkte, ook voor een stichting deed die veel goed doet op het internet.

En uiteindelijk gewoon zelf ook keihard met rents en HR bezig was en met zijn afpersen was. Dus voor sommige mensen blijkt het erg verleidelijk om aan beide kanten wat geld te plukken. Oké jongens, we gaan afsluiten. Vooral niet vergeten, Thomas, ontzettend bedankt voor het aanleven van onderwerpen. Ik vond het echt heel leuk om daar even in te duiken en ook wat parallellen te zien met de historie.

Dus als andere mensen nog een leuke onderwerp of gasten hebben en feedback hebben, dat mag je altijd mee bij ons terugkomen. Je kan een e-mailje sturen naar vragen. et-cyberhelden. nl Elke week kan je naar een nieuwe aflevering van Cyberhelden luisteren. Onze gesprekken met de Cyberhelden kun je terug luisteren via Spotify, maar ook natuurlijk je eigen favoriete app.

En vergeet dan ook niet te subscriben, want dan krijg je vanzelf een notificatie als er weer een nieuwe aflevering klaarstaat. Veel dank voor het luisteren en graag tot de volgende keer. Cyberhelden. Nee, tot de volgende keer weer. Tot de volgende!