Wat we niet weten over hacken

De media smult ervan: hacks van bekende mensen. Fantastisch voor de bewustwording en publieke opinie rondom cybercrime en informatiebeveiliging, maar wat schuilt er werkelijk achter de berichtgeving. Reken maar dat een organisatie in rep en roer is als de media geïnformeerd moet worden over een hack. Ik lees berichten over ‘cybercrime’  dan ook met een andere bril.

" Afgelopen week heeft Minister Henk Kamp van Economische Zaken aangifte gedaan van het hacken van zijn privé gmail account. De privé mail van Kamp zou in 2014 gehackt zijn.", alsdus bericht op Nu.nl

Bij het lezen van dit bericht is mijn eerste vraag : hoe weet hij dat? Hackers vertellen dat namelijk niet graag uit zichzelf. Dan lees ik verder.

" De aangifte leidde tot een strafrechtelijk onderzoek, maar dat onderzoek leidde niet tot arrestaties. Het Openbaar Ministerie laat weten dat er onvoldoende bewijs was voor een daadwerkelijke hack."

Ok, denk ik. Het strafrechtelijk onderzoek kan dus NIET vaststellen dat Henk in (of sinds) 2014 is gehackt, maar Henk Kamp weet het zeker.  Hij heeft namelijk (uit voorzorg) toch aangifte heeft gedaan. Dan zijn er in mijn ogen drie scenario's mogelijk:

  • Scenario 1: Iemand heeft gmail-credentials van Henk achterhaald en dus twee  jaar mee kunnen lezen. Henk heeft de optie two-factor authenticatie van gmail dan zeker niet in gebruik. Henk kwam achter de hack omdat Google verdacht gedrag zag op dit account (dmv inloggen van ander ip-adres) of dat er onbedoelde emails zijn verstuurd uit zijn naam naar al zijn gmail-contacten. 
  • Scenario 2: Iemand heeft uit naam van Henk emails verstuurd (spoofing) zonder toegang te hebben tot zijn gmail-account. Echter, het nabootsen van gmail accounts wordt standaard geblokkeerd door SPF-record in DNS-servers van Google.  Dus blijft een scenario over zoals een email adres van wat lijkt op het gmail adres van Henk. Vervelend, maar aangifte voor elke spoof-email lijkt me erg bewerkelijk voor een strafrechtelijk onderzoek. 
  • Scenario 3: Iemand heeft vertrouwelijke stukken (onbedoeld) in handen gekregen die tegen de richtlijnen via het gmail account van Henk zijn verstuurd. De 'hack' is dan als een excuus nodig. De aangifte voorkomt indirect ook dat iemand (politiek, media) misbruik kan maken van verkregen informatie via het prive account van Henk is verstuurd. Het lijkt dan alsof deze persoon de hacker is.

Ik lees verder: " Volgens Nieuwsuur was er sprake van spoofing waarbij iemand mails lijkt te kunnen versturen vanuit een e-mailaccount zonder daadwerkelijk toegang tot de mail te hebben gehad. Het Openbaar Ministerie (OM) laat echter aan NU.nl weten dat het bij Kamp ging om phishing."

Volgens het OM komt dus scenario 2 van Nieuwsuur over spoofing te vervallen. Het OM wijst duidelijk in de richting van scenario 1; een algemene phishing aanval waardoor credentials in handen van hackers zijn gevallen doordat Henk gebruikersnaam en wachtwoord op een malafide site heeft ingevuld?! Dan ben ik best onder de indruk van het onderzoeksteam van het OM. Die moeten vaststellen dat in 2014 een phishing email is gestuurd aan gmail account van Henk Kamp en de oorzaak is van de hack. Hoe onwaarschijnlijk is phishing en misbruik van credentails als je verderop in het bericht dit leest:   

" Het OM kon niet zeggen of de aanvallers toegang hebben gehad tot het mailaccount van Kamp. Volgens een woordvoerder van de minister is dat niet gebeurd. Het lijkt er dus op dat deze werkmails niet zijn ingezien door eventuele hackers".

Nu ben ik dus in de war. Scenario 1 en 2 zijn dus afgevallen. Blijft bij mij de vraag over; “ Waarom dacht Henk Kamp dan dat zijn gmail account gehackt was en daar dusdanige aanwijzigingen voor had om aangifte te doen en de media te informeren?”. Het gaat m.i. ook niet om de hack maar om de data die mogelijk in handen is van onbevoegden. Mijn vermoeden is daarom - een variant van - scenario 3.

Is scenario 3 erg? In het laatste deel van het bericht staat van wel: 

" Wel heeft het Landelijk Parket een rapportage opgesteld en onder de aandacht gebracht bij de ministerie van Veiligheid en Justitie en Economische Zaken en bij de inlichtingendiensten AIVD en MIVD." 

Het ging dus om erg gevoelige informatie waarover zelfs de Militaire Inlichting en Veiligheid Dienst geïnformeerd moest worden. Welke informatie is gelekt, zal bij een select intern gezelschap bekend zijn, maar zal nooit in de media terecht komen. Dit incident is straks weer vergeten met de 'hack'  van een ander publiek figuur. 

Belangrijkste les voor ICT architecten, Security-specialisten en beleidsmakers; werk en privé digitaal goed scheiden, zodanig dat toegang/hack in het privé domein geen gevolgen heeft voor zakelijke data.  

Disclaimer: Mijn analyse is gebaseerd op informatie die ik zelf haal uit de media. Ik heb zelf geen enkele kennis van de feiten rondom dit specifieke incident. Ontbrekende feiten kunnen mijn analyse en conclusie in geheel een ander daglicht stellen.  Middels deze blog hoop ik dat we samen leren van dit soort incidenten.