Interpol – de internationale organisatie die zich bezighoudt met het ondersteunen van politieorganisaties bij het voorkomen en bestrijden van criminaliteit – wapent zich nu ook in de strijd tegen cybercrime. De organisatie werkt in Singapore samen met securitybedrijven als Kaspersky Lab en Trend Micro.

Samenwerking tussen politiediensten en de private sector moet voor technologische innovatie zorgen”, zei Interpol-president Mireille Ballestrazzi op de allereerste Interpol World conferentie die pas in Singapore plaats vond. Met de conferentie wil Interpol de banden tussen wereldwijde politiediensten en ordehandhavers met de security-industrie verder aanhalen. Het markeert ook hoe Interpol de transitie aan het maken is naar het digitale tijdperk.

Jürgen Stock, secretaris-generaal van Interpol : “We hebben gezien hoe criminaliteit geëvolueerd en geïnnoveerd is, hoe het internet voor nieuwe dreigingen gezorgd heeft. Het is tijd dat we nu zelf innoveren.”

Singapore als locatie voor de conferentie is geen toeval. Interpol opende er aan de vooravond van het congres officieel het ‘Global Complex for Innovation’ (IGCI). Dat IGCI voorziet in operationele en forensische ondersteuning en versterkt de mogelijkheden om (nieuwe) cyberdreigingen te detecteren en identificeren. Het IGCI wil met andere woorden zorgen dat politiediensten nieuwe technologie kunnen inzetten om cybercriminelen te slim af te zijn. Voor die technologie rekent Interpol dus op de security-industrie.

DIGITAL FORENSICS

Het IGCI ruikt nog naar pasgegoten beton en oogt extreem clean – zoals zowat alles in Singapore eigenlijk. Eenmaal voorbij de ‘security clearance’ en de metaaldetectors en na het inleveren van onze fotocamera – “sorry, geen foto’s toegestaan” – en het waarschuwend vingertje dat opnames met de smartphone ook ten strengste verboden zijn – mogen we naar binnen voor een rondleiding doorheen het IGCI. Oh ja, tijd voor veel extra vragen krijgen we niet en het is ook al niet toegestaan om andere werknemers aan te spreken. Een grapje over het inpluggen van een usb-stick met malware breekt het ijs in wat even een koude oorlog lijkt.

Eerste stop : het ‘digital forensics lab’. Dit is waar onderzoekers aan de slag gaan met in beslag genomen data. Harde schijven worden eerst via een duplicator één-op-één gekloond. Nadien worden de gegevens ingelezen en getransfereerd naar een onderzoekspc aan de andere kant van de eerder bescheiden kamer. Wordt er malware gedetecteerd ? Dan wordt die naar een workstation overgebracht en wordt samen met onder meer Kaspersky Labs een snelle en efficiënte analyse uitgevoerd.

Centraal in de kamer zien we nog een ‘bunker’. In die kamer is geen enkele radio-ontvangst mogelijk en dat is waar smartphones geanalyseerd worden. De bunker moet vermijden dat malware of andere malafide software toch data verstuurd krijgt via een van de radiochips (2G, 3G, 4G, wifi, bluetooth, enz) in het toestel.

CYBERDREIGINGEN SIMULEREN

In een nog kleinere ruimte – beeldt u het kantoor van de ceo van een middelgroot bedrijf in – treffen we wat meer gespecialiseerd ogende apparatuur. “Dit is waar we cyberdreigingen onderzoeken, de r&d van de nodige tools doen en ook in geavanceerde trainingen voorzien”, legt Interpol-cyber threat researcher Christian Karam uit. “We leren politiemensen hoe ze misdaden op internet kunnen plegen, zodat ze ze ook kunnen detecteren en voorkomen”, zegt Karam.

Concreet wil dat zeggen dat Interpol hier ruim 15.000 links op darknet monitort : dat is het afgesloten deel op internet dat enkel via gespecialiseerde browsers als Tor te bereiken valt en net daarom graag misbruikt wordt door onder meer (cyber)criminelen, pedofielen en (drugs)dealers om hun zaakjes verborgen te houden voor het brede publiek.

‘We draaien hier trouwens een eigen afgesloten darknet ; een eigen Tor-netwerk met 21 nodes, een eigen authority en daar bovenop nog een privaat bitcoinnetwerk en bijbehorende marketplace”, zegt Karam. “Zo kunnen we bijvoorbeeld perfect simuleren hoe je een botnet of criminele actie kan ‘bestellen’ in zo’n marketplace. Of we leren ook hoe je malware in een bitcointransactie kan verstoppen. Die kennis hebben we nodig om de échte cybercriminaliteit aan te pakken”, aldus Karam.

CYBER FUSION CENTRE

Helemaal indrukwekkend wordt het in het ‘cyber fusion centre’. “Blijf alsjeblief aan de rechterkant, ver weg van de bureau’s met pc’s”, roept Paul Ward, hoofd van het cyber fusion centre in het Interpol Global Complex for Innovation ons meteen toe. Aan die bureau’s mogen alleen bevoegde agenten zitten die permanente toelating hebben om daar te werken. Achter een semitransparante glazen wand die met een klik op de knop verduisterd wordt, zijn er bureau’s waar mensen uit de security-industrie komen helpen. Het gaat dan vooral om onderzoekers van Kaspersky Lab, Trend Micro, NEC en Microsoft. “We brengen achter die wand de juiste profielen binnen uit meer dan 190 landen om dan samen de dreiging aan te pakken”, zegt Ward. Het gaat dan om info uit niet alleen de private sector, maar ook industrie-organisaties, open source bronnen, academici en regulatoren. Op grote schermen worden tot 12 feeds met info simultaan getoond.

Samen wordt de informatie verwerkt, verrijkt en gecentraliseerd om zo uiteindelijk een concrete actie – bijvoorbeeld het oprollen van een botnet – te coördineren of te ondersteunen. Zo werd in een vanuit het IGCI gecoördineerde wereldwijde operatie alvast het criminele botnetwerk Simda ontmanteld. Het gaat om een netwerk dat uit duizenden geïnfecteerde pc’s bestond, verspreid over de hele wereld. Onder meer in Nederland werden tien ‘command & control’ servers in beslag genomen. In de VS, Rusland, Luxemburg en Polen zijn aanvullende servers neergehaald.

“Maar het primaire doel voor iedere agent, en dat geldt ook voor ons, is om misdaden te voorkomen en niét om ze op te lossen”, zegt Ward.

WE STAAN ACHTER OP DE CRIMINELEN

“Het cyber fusion centre is zowat de ‘intelligence hub’ van Interpol om cybercriminaliteit te bestrijden”, zegt Brad Marden, coordinator investigative support bij het Interpol Digital Crime Centre. De oprol van het Simda-botnet is een eerste operationeel resultaat, maar onder meer ook afpersing rond naaktfoto’s – ook wel ‘sextortion’ genoemd – staat op de agenda. “Dit zorgt voor zelfmoorden, en dus willen we het aanpakken. In augustus willen we een actieplan hebben”, zegt Marden. Ook de handel in frauduleuze vliegtuigtickets wil Interpol een halt toeroepen, geeft de man nog een voorbeeld.

Marden geeft toe dat cybercriminaliteit te lang welig heeft kunnen tieren. “Yes, we are behind the cybercriminals, maar we zijn aan een inhaalbeweging bezig. Het is niét zo dat we mijlenver achter staan”, aldus Marden. “Het grote probleem is dat wij niet zomaar in het wilde weg info kunnen gaan delen of buiten de grenzen van de wet treden. Cybercriminelen doen dat uiteraard wél en dus zijn ze sneller”, klinkt het.

TRADITIONELE CIMINALITEIT DIGITALISEERT

Die inhaalslag is wel degelijk op zijn plaats als we securitybedrijf Kaspersky Lab mogen geloven. “Het Internet of Things (IoT) zal voor extra problemen zorgen. Ik heb het dan ook over het internet of threats”, vertelt ceo Eugene Kaspersky die al bijna 26 jaar in de security-industrie werkt en als geen ander een oog heeft voor nieuwe trends. “Het IoT zal voor nieuwe mogelijkheden en nieuwe business-ideeën voor cybercriminelen zorgen”, meent de ceo.

Smart tv’s en de bijbehorende betaalsystemen zijn volgens hem een aanlokkelijk doel voor hackers. Maar zoveel smart tv’s worden toch niet actief gebruikt ? “Vroeger vroeg ik mensen of ze mobiel bankierden. Dat waren er enkele jaren geleden enkelen in de zaal. Nu zijn er dat zeker de helft. Voor smart tv’s gaat het net zo zijn”, voorspelt Kaspersky. Nadien zijn misschien de smart home of industriële systemen aan de beurt.

“Het is duidelijk dat traditionele criminaliteit nu ook cyberspace ontdekt. Mafiabazen en bendeleiders nemen software engineers aan om hun traditionele criminaliteit te ondersteunen. Dat is een gevaarlijke cocktail en gevaarlijk voor onze maatschappij”, zegt Eugene Kaspersky die het voorbeeld van de Antwerpse haven aanhaalt waar containers gehackt werden door drugkoeriers.

TERRORISME ?

Volgens Eugene Kaspersky is er slechts één ergere bedreiging, en dat is dat ook terrorisme zich met cybermisdaad gaat bemoeien. “Misschien gebeurt het al, maar weten we het nog niet. Misschien smeden ze nu al plannen, maar kennen we ze nog niet”, aldus de ceo die zeker niet te somber wil klinken. “Specifiek rond sabotage van infrastructuur hebben we bijvoorbeeld nog maar weinig concrete aanvallen gezien. Rond spionage zien we wel dat alsmaar meer naties betrokken zijn in dit ‘spel’. Zo zien we al lang niet meer uitsluitend Engelstalige spionagekits passeren, maar detecteren we ook Italiaanse, Franse en pas nog de eerste Arabische kits. Spionage gebeurt toch wel op grote schaal. Cyberwapens zijn dan maar één stap verder”, waarschuwt Kaspersky.

“Maar ik ben er nog altijd van overtuigd dat we als security-industrie en als maatschappij de strijd kunnen winnen, maar makkelijk wordt het zeker niet. In het leven zijn er volgens mij trouwens maar twee zekerheden : de dood en cybermisdaad”, besluit hij

Kristof Van der Stadt

“We hebben gezien hoe cybercriminaliteit geëvolueerd en geïnnoveerd is. Het is tijd dat we als politiediensten nu ook zelf innoveren.”

“Mafiabazen en bendeleiders nemen software engineers aan om hun traditionele criminaliteit te ondersteunen.”