Het bezoek van Rian van Rijbroek, 'expert cyberveiligheid' en 'schrijver van het boek De wereld van Cybersecurity en Cybercrime' aan het televisieprogramma Nieuwsuur op 29 januari 2018 heeft veel losgemaakt. In het programma werd aandacht besteed aan de DDOS aanvallen op internetdiensten van verschillende bedrijven, zoals de Belastingdienst, ING, ABN AMRO, Rabobank en KPN. Van Rijbroek's uitlatingen over naderend cyberonheil deden tal van autoriteiten op dit gebied over elkaar heen buitelen om het tegenovergestelde te beweren van wat zij vertelde. Hiernaast bleek een paar dagen later dat het boek dat zij samen met Willem Vermeend had geschreven op diverse plaatsen plagiaat pleegde. Moeilijk te volgen verhaal en een boek met geplagieerde teksten. Nieuwsuur distantieert zich dan ook van het interview met Van Rijbroek, zoveel is duidelijk. Zowel haar uitspraken als haar boek moeten het ontgelden:
- Deskundigen over Nieuwsuur-uitzending DDoS-aanval (NOS Nieuwsuur, 31-1-2018)
- Cybersecurity-boek oud-minister Vermeend uit de schappen (NOS Nieuwsuur, 1-2-2018)
De vraag is natuurlijk of het verhaal van Van Rijbroek helemaal is verzonnen, of dat Nieuwsuur om andere redenen gemeend heeft het verhaal te moeten ontkrachten.
Wat is er bijzonder aan deze DDOS aanvallen?
De eerste vraag is natuurlijk, wie het kan zijn die deze DDOS aanvallen uitvoert. Van Rijbroek:
De aanvallen zijn .. je ziet vanaf eh .. eind 2013 zie je bepaalde trend de aanvallen zijn groter, geavanceerder en het lijkt erop alsof iemand de beveiliging van de banken in dit geval, van de Belastingdienst in dit geval, aan het testen is. Dat eh .. daar eh .. ja je kunt nooit eh .. met zekerheid zeggen wie daar achter zit maar je zag dat er codes bij banken binnenzaten, Russische en Iraanse codes, en Noord-Korea. Er wordt gedacht aan hackersgroepen uit die drie landen.
Van Rijbroek suggereert zelf betrokken te zijn bij de analyse van de DDOS aanvallen. Dat zou dan bij de ING Bank, ABN AMRO, Rabobank of Belastingdienst geweest moeten zijn. De 'codes' waarover ze spreekt zouden dan al IP-adressen moeten zijn, of regionale informatie in een HTTP request.
Geldautomaten spuwen geld uit
Op de vraag, wat het doel geweest kan zijn van de hackers die de DDOS aanval hebben uitgevoerd antwoordde Van Rijbroek het volgende.
Ik eh gaf al aan dat hackers de beveiligingssystemen aan het testen zijn, dit is een vooraanval van iets groots dat gaat komen. En wat gaat dan komen, we hebben nu recent de afgelopen dagen en dat is eh informatie die ik eh vandaag heb doorgekregen van een veiligheidsdienst, hebben [we? ze? er?] mee te maken gehad en daar hebben [ze? we?] hetzelfde patroon gezien in de VS dus ook deze testaanvallen hebben uitgevoerd en nu zijn [ ] hebben diverse geldautomaten geld uitgespuugd op bepaalde tijdstippen en die zijn door geldezels zijn dat is dat geld opgehaald.
Kan dat kloppen? Geldautomaten die geld uitspugen? Bij nazoek blijkt het van wel en zelfs heel recent, met geldautomaten die zo te zien ook in Nederland worden gebruikt. Al sinds 2013 wordt over gehackte geldautomaten gesproken en fabrikanten Nixdorf en NCR waarschuwen hiertegen volgens Reuters. Geografisch zijn Taiwan, de VS en Duitsland aan de beurt geweest en worden veel Nederlandse geldautomaten in Duitsland door Nixdorf gemaakt. De laatste waarschuwing stamt van 29 januari 2018, de dag van het interview met Van Rijbroek. De waarschuwing van Van Rijbroek lijkt dan ook relevant en terecht.
- 'Jackpotting' hackers steal over $1 million from ATMs across U.S.: Secret Service (Reuters, 29-1-2018)
- Jackpot-alarm: hackers laten geldautomaten op hol slaan (RTL Nieuws, 28-1-2018)
- Hackers target ATMs across Europe as cyber threat grows (Reuters, 21-11-2016)
- Cyber-Bankräuber plünderten auch deutsche Geldautomaten (Reuters, 10-5-2013)
- Taiwanese banken sluiten geldautomaten na malwarediefstal (security.nl, 12-7-2016)
- Wincor Nixdorf assembleert op maat in Paderborn (Computable, 22-3-2010)
Mobiele telefoons zijn heel gemakkelijk te hacken
Op de vraag hoe je jezelf kunt beschermen als je gebruik maakt van mobiel bankieren zodat er niet iets gebeurt met je gegevens of je geld geeft Van Rijbroek het volgende antwoord:
Ik zou in ieder geval als ik in zou loggen bij een bank zal ik .. zou ik het al doen via .. je kunt tegenwoordig inloggen of via VPN of via de beveiligde modus zoals bijvoorbeeld eh .. bij Apple, dan zou ik niet eh .. via de mobiele telefoon doen want mobiele telefoons .. ja die zijn gewoon heel gemakkelijk te hacken, locatiehacken, ook niet op een openbare .. ik zou [zelf geen app van bank op mijn telefoon zetten]. Ik zou .. als ik eh .. ik zou, als ik dus zeg maar zou bankieren met mijn gegevens zou ik zorgen dat ik dat op een computer doe die op een kabel is aangesloten dus ook niet op een wifi netwerk want die zijn ook gemakkelijk over te nemen en te hacken dus ik zou daar toch eh wel voor opletten.
Het antwoord van Van Rijbroek is (alweer) wat moeilijk te volgen, mogelijk omdat ze verschillende onderwerpen in haar antwoord wil verwerken en halverwege haar verhaal wordt geïnterrumpeerd, maar de stellingen "mobiele telefoons zijn heel gemakkelijk te hacken" en "wifi netwerken zijn gemakkelijk over te nemen" steken er wel bovenuit. Kan dat eenvoudig, smartphones hacken en op die manier de gebruiker geld of informatie ontfutselen?
De uitspraak over mobiele telefoons lijkt niet te passen bij moderne Apple- en Android telefoons. Zoveel geeft Van Rijbroek ook zelf al aan ("beveiligde modus [..] van Apple"). Ze zal het dus over andere telefoons hebben gehad. Wikipedia laat zien dat meer dan de helft van de Android gebruikers een verouderd besturingssysteem gebruiken. En Android vormt 74% van de telefoonmarkt. Dat maakt dat alleen al in Nederland meer dan 6 miljoen mensen met een hackbare Android telefoon rondlopen. En voor Android zijn veel, heel veel 'exploits' en 'hacks'. Lijkt erop alsof Van RIjbroek hier niet per se verkeerd zit, maar misschien een ongenuanceerd beeld probeert over te brengen.
- StatCounter Global OS usage: 74% Android, 20% iOS (StatCounter, 2-2-2018)
- Android version history (WIkipedia, 2-2-2018)
- Android version usage (Wikipedia, 2-2-2018)
- Meer dan 81% van de Nederlanders heeft een smartphone (Marketingfacts, 21-6-2015)
- Android Vulnerabilities by version (2-2-2018)
Wifi netwerken zijn gemakkelijk over te nemen
Op de vraag hoe je veilig kunt bankieren adviseert Van Rijbroek om geen gebruik te maken van wifi netwerken "omdat die gemakkelijk zijn over te nemen". Heeft ze daar gelijk in? Daar hoeven we denk ik niet al te lang over nadenken: bankieren via een wifi access point is vragen om problemen:
Conclusie
Van Rijbroek's optreden in het NOS programma Nieuwsuur kwam weinig vertrouwenswekkend over met een hakkelend en wat gerepeteerd klinkend verhaal waarbij Van Rijbroek met enig regelmaat de draad leek kwijt te zijn. Toch lijkt er na enig Googelen inhoudelijk niets mis met de gegeven informatie: geldautomaten worden inderdaad in de landen om ons heen gehackt en de geldautomaten in Nederland lijken van hetzelfde fabrikaat als die in Duitsland worden gebruikt. Meer dan 6 miljoen Nederlanders lijken met een hackbare Android telefoon rond te lopen en veel wifi toegangspunten zijn eenvoudig over te nemen. Blijft over de vraag of Van Rijbroek de kennis uit eerste hand heeft, of het nieuws heel goed volgt. Op basis van haar uitspraken in Nieuwsuur wijst niets erop dat ze kennis uit eerste hand heeft opgedaan, maar juist alle informatie van horen zeggen heeft. Ze lijkt handig in het combineren van stukjes informatie tot iets wat op een antwoord lijkt.
Updates
- In de podcast van De Technoloog | BNR van 17 januari noemt Van Rijbroek in bijna iedere zin voorbeelden uit bronnen die ze soms bij name noemt. Dat verklaart mogelijk waarom de bronvermeldingen in haar boek zo haperen: het redactieteam heeft het waarschijnlijk gewoon opgegeven om alle bronnen erbij te zoeken. Haar 'boekenwijsheid' is echter opvallend.
- Ik lees net via Twitter een artikel van Joost Schellevis die stelt dat "informatie uit de echte wereld [door Van Rijbroek] aan elkaar [wordt] geknoopt en door de blender gehaald".
- Marcel van den Berg heeft een CV-onderzoek gedaan naar Rian van Rijbroek. Het resultaat is ontluisterend. De titel van zijn blog-entry "Nieuwsuur liet nep cybersecurityspecialist uitleg geven over DDoS-aanvallen Nederlandse banken" is veelzeggend en Vermeend lijkt er tot zijn nek in verwikkeld.
- Alexander Klöpping verwoordt zijn gedachten in zijn blog in vijf punten.
- Politie arresteert 18-jarige Oosterhouter op verdenking van de DDOS aanvallen.
- Volkskrant gaat in gesprek met de 18-jarige MBO scholier Jelle S. die achter de massale DDOS aanvallen blijkt te zitten. Hij zegt botnets te 'huren' en demonstreert dit aan de redactie van de Volkskrant door de internetaansluiting van de Volkskrant tijdelijk over te belasten.
- Een rechtzaak, aangespannen door Kaspersky, tegen de Telegraaf over een artikel waarin melding werd gemaakt van een inbraak op het netwerk van Kaspersky Lab, wordt door hen gewonnen.
- Een mooi samenvattend verhaal van Tubantia, over het turbulente verhaal achter Van Rijbroek.