Hacker Frank (15) wilde maar één ding: dat ‘lousy’ T-shirt verdienen

Cybercriminaliteit De traditionele jeugdcriminaliteit daalt, maar de hoeveelheid cybercrime stijgt én de daders worden jonger.

Bootcamp in Purmerend voor jonge hackers. De politie wil zo voorkomen dat jongeren op internet de fout ingaan.
Bootcamp in Purmerend voor jonge hackers. De politie wil zo voorkomen dat jongeren op internet de fout ingaan. Foto Dieuwertje Bravenboer

Frank was 15 en wilde maar één ding: het shirt verdienen met daarop de tekst I hacked the Dutch government, and all I got was this lousy T-shirt. Dat is de meest gewilde beloning die het Nationaal Cyber Security Centrum (NCSC) uitreikt aan hackers die beveiligingsproblemen bij overheidswebsites opsporen en rapporteren.

Als het op het hacken van websites aankomt, levert Frank geen half werk vertelt hij, inmiddels 17, in een café in Zwolle. Met speciale software die automatisch in alle hoeken en gaten van websites kijkt, speurt hij naar fouten in de beveiliging van de ene na de andere overheidssite.

Na twee uur zoeken is het raak: een site heeft een lek, een zogenaamde ‘cross-site scripting-kwetsbaarheid’, waardoor aanvallers kwaadaardige codes in een onschuldige website kunnen injecteren. Frank tikt een mailtje naar het NCSC waarin hij zijn bevindingen uiteenzet. Vol trots licht hij zijn ouders in. „Ik zei: kijk, ik heb de overheid gehackt en ik ga een shirtje verdienen.” Zijn vader, die ook weleens wat met computers doet, deelt dat gevoel, maar zijn moeder is bezorgder.

Tot Franks grote vreugde stuurt het NCSC hem inderdaad een T-shirt en een certificaat op. Maar wat hij niet weet, is dat andere beveiligers van de overheid minder blij zijn met zijn acties. Zij zien alleen maar dat iemand met brute kracht keer-op-keer aanvallen heeft proberen uit te voeren op talloze overheidswebsites. „Zij zagen duizenden requests per minuut naar hun servers gaan en dachten: we worden gehackt. En dus deden ze aangifte.”

Een paar maanden later staan om half zeven ’s ochtends vier agenten op de stoep. Het kwartje valt onmiddellijk: met de hackpoging is Frank te ver gegaan. Hij doet in pyjama zijn verhaal en de agenten nemen zijn computer mee. In de economieles wordt hij later opgebeld om langs te komen voor verhoor. Frank wist eigenlijk niet eens meer welke overheidssite hij nou gehackt had. „Ik had allerlei sites getarget om het shirtje te verdienen. Als eentje niet werkte, ging ik door naar een andere.”

Net als Frank doen steeds meer jongeren – soms ook onbewust – aan computercriminaliteit. En waar de politie de jeugdcriminaliteit al jaren ziet dalen, stijgt cybercrime én worden de daders jonger. Vorig jaar was bijna de helft van de verdachten van cybercrime en andere veelvoorkomende digitale fraude jonger dan 25. Iets minder dan één op de tien was minderjarig.

„We zien een disbalans tussen het profiel van de dader en de schade die zij hadden kunnen veroorzaken en soms ook hebben veroorzaakt”, zegt Floor Jansen, teamleider van het Cybercrime Offender Prevention Squad (het COPS-team), onderdeel van het Team High Tech Crime (THTC), van de Nederlandse politie. „Het oplossen van de gemiddelde cybercrimezaak kost ongelofelijk veel tijd en geld. Bij het THTC zitten soms vijftien man twee jaar lang op een verdachte. Dan hebben we zo’n zaak eindelijk opgelost en staat er zo’n kind voor je van 15 of 16 jaar van wie je denkt: wat moeten we hier nu mee?”

Foto Dieuwertje Bravenboer

Bootcamp

Zaterdagochtend in Purmerend. In een tot e-sport-arena omgebouwd gymzalencomplex staan zo’n 65 jongeren in groepjes voor een enorm, groen uitgelicht podium. Normaal worden daar professionele videogame-wedstrijden gespeeld en live uitgezonden over het internet, maar nu legt ethisch hacker Barry van Kampen de online mores aan het minderjarige publiek uit. Zoals: van andermans computer blijf je af, tenzij je expliciet toestemming hebt.

De kinderen – en hun ouders, die vanaf de tribune toekijken – zijn speciaal door de politie geselecteerd om vandaag deel te nemen aan het re_B00TCMP. Alleen scholieren van scholen in omliggende gemeenten, die écht wat kunnen en geneigd zijn online de grens op te zoeken, zijn uitgenodigd. Het resultaat is een bonte verzameling kinderen – voornamelijk jongens, maar er zijn ook wat meisjes – tussen de twaalf en zeventien jaar. Als Van Kampen het „besturingssysteem” Linux bespreekt, wordt hij vanuit de zaal gecorrigeerd. „Linux is een kernel, geen operating system”, klinkt het.

Het re_B00TCMP is onderdeel van de plannen van de politie om te voorkomen dat jongeren op het internet de fout in gaan, legt Floor Jansen van het COPS-team uit. Repressie én preventie. „Op cybercrime-gebied was er wat preventie en bijsturing betreft niets geregeld, terwijl dat juist online veel moeilijker is. Als je een ruit ingooit, dan zijn de gevolgen daarvan heel zichtbaar, maar bij een DDoS-aanval is dat minder. En als niemand het opmerkt en niemand echt goed begrijpt wat er gebeurt, is bijsturen ingewikkeld.”

Na afloop van Van Kampens introductie kunnen de deelnemers – uiteraard – gamen, krijgen ze workshops van de politie, leggen twee medewerkers van het THTC uit hoe ze een grote aanbieder van DDoS-aanvallen hebben opgerold of laat cybersecurity bedrijf Northwave zien wat er gebeurt als ze een bedrijf helpen dat door gijzelsoftware getroffen is. De ouders krijgen in een apart programma uitgelegd wat online wel kan en wat niet, en hoe ze het gesprek met hun kinderen aan moeten gaan, ook als zij hen al lang voorbijgestreefd zijn in technische kennis.

Foto Dieuwertje Bravenboer

Jonge IT’ers

Daderpreventie, gericht op talentvolle, jonge IT’ers, begon in 2016 met het reclasseringstraject Hack_Right. Het idee, legt Jansen uit, is het voorkomen dat een groep die al in beeld is bij justitie opnieuw de fout ingaat en een groter probleem voor de samenleving gaat vormen. Dat de politie samen met het Openbaar Ministerie het initiatief nam voor een reclasseringstraject, vindt Jansen logisch: „De politie staat vooraan de strafrechtketen. Wij zien de problemen als eerste. We zien een hoop daders en we kunnen daarvan maar een klein deel opsporen en vervolgen. Een kleiner deel daarvan wordt uiteindelijk berecht. Wij willen een aanpak van cybercrime die verder gaat dan opsporen en vervolgen. Preventie is een heel efficiënt middel.”

Hack_Right telt inmiddels enkele tientallen deelnemers per jaar en is bedoeld voor daders die technologisch bekwaam zijn en die vaardigheden hebben ingezet om een misdrijf te plegen. Naast een begeleider vanuit Reclassering Nederland of – in het geval van minderjarigen – Halt of de Raad voor de Kinderbescherming, krijgen deelnemers ook een expert uit de particuliere sector toegewezen. Die moet met de jonge daders spreken over wat wel en niet kan online, en moet ze helpen hun vaardigheden voor het juiste doel in te zetten. Of het werkt is lastig te zeggen, maar nog geen enkele deelnemer aan Hack_Right is volgens Jansen opnieuw veroordeeld.

Straf is soms onvermijdelijk, voor deze groep hoeft het niet zover te komen

Floor Jansen teamleider van het Cybercrime Offender Prevention Squad

Het idee voor de bootcamp in Purmerend voor daders die (nog) niet in beeld zijn bij de politie, ontstond doordat coaches van Hack_Right opmerkten dat deelnemers eigenlijk al veel eerder de fout in waren gegaan, maar pas later tegen de lamp liepen. „We zijn altijd te laat”, zegt Jansen. „Een straf is voor sommige mensen onvermijdelijk, maar voor deze groep hoeft het niet zover te komen. Daarom proberen we de jongeren tijdens het bootcamp iets mee te geven over de gevolgen van cybercrime. Heel goed met IT zijn is zowel een kans als een risico, vooral als iemand op de opleiding alles leert over netwerken, hardware en software, maar niemand ethiek bespreekt. ”

Maradona bij Dokkum 8

Henk van Ee, cybersecurity-consultant en docent op hogeschool Saxion, is een van de coaches van Hack Right. Hij vertelt over zijn ervaringen met de tiener die hij begeleidde. Hij noemt zijn naam niet om de privacy te beschermen. „Toen ik voor het eerst met hem kennismaakte, dacht ik, even dom gezegd, dat hij een soort cybercrimineeltje was. Maar ik kwam er gaandeweg achter dat het best complex was wat hij voor elkaar had gekregen als 17-jarige.”

De jongen bleek van SQL-injecties – het oneigenlijk manipuleren van databases – zijn hobby gemaakt te hebben. Hij kon er met niemand over praten, kwam amper mee op het vmbo, en worstelde met het afmaken van zijn mbo-opleiding. „Hij vond school maar stom en belachelijk. Dat snap ik ook wel, als je technisch gezien de docenten veruit de baas bent. Die denken: mijn god, ik heb al moeite genoeg met de rest van de klas. Het is alsof je Maradona bij Dokkum-8 op voetballes zet.”

Waar de jongeman precies de fout in is gegaan, houdt Van Ee in het midden. „Dat begint met gamen en dan komt er iemand die zegt: goh wat zou het mooi zijn als deze kaart of dit spaarpotje verdubbeld kan worden. Daarna gaat het snel, want dan ineens is er een netwerk van iemand die sim-kaarten heeft. En deze jongen leverde de toegang, die zorgde ervoor dat de processen gefixt werden. Hij raakte er vrij snel in verstrikt. Ook uit loyaliteit; de jongen die hem uit had gedaagd, dat was zijn enige vriend.”

Van Ee regelde als onderdeel van het reclasseringstraject gesprekken bij een encryptiespecialist, liet hem een presentatie geven op zijn eigen school en met ethisch hackers praten. „Daar besefte hij eigenlijk voor het eerst dat hij slim was. Hij kreeg erkenning voor zijn talenten.” Ook moest de jongen zijn opleiding afmaken. Van Ee denkt niet dat hij nog eens de fout in zou gaan.

Inmiddels begeleidt Van Ee nog een jongere die „nog niet gepakt is” door de politie. „Soms komen ze met zijn tweeën naar me toen en dan zeggen ze: Henk, we hebben weer wat leuks gevonden. Ik denk dan: ‘o mijn god’. Als ze een phishingmail krijgen, hebben ze in no-time uitgezocht waar de server staat en hoe dat allemaal in elkaar steekt. Dan vragen ze of ik het goed vind als ze de server uit de lucht halen. Ik zeg dan: even rustig aan, laten we één taakstraf tegelijkertijd doen. Hij doet het dan niet, maar bekent later wel dat hij ze honderdduizend mailtjes heeft gestuurd. Het is een voortdurende balans van grenzen zoeken, dat blijft en dat kun je ook niet onderdrukken. De vraag is meer hoe je er mee om gaat.”

Foto Dieuwertje Bravenboer

Prototype

Volgens Jansen moet de politie ook online steeds meer aanwezig zijn. „Op internet is dat gevoel van onaantastbaarheid en anonimiteit sterk aanwezig. Dat proberen we te doorbreken.” Een van de nieuwste initiatieven is adverteren bij zoekopdrachten naar het kopen van een DDoS-aanval. De advertentie legt uit dat zo’n aanval strafbaar is en voor de rest van het internet ook gevolgen kan hebben. Tieners proberen met zo’n DDos-aanval bijvoorbeeld elkaars Minecraft-servers plat te leggen, maar vergeten vaak dat zoiets strafbaar is.

De uitdaging voor politie en de reclassering – die de leiding van het Hack_Right gaat overnemen van de politie – is nu het begeleiden van een nieuw type cybercrime-dader. Steeds vaker zijn er tooltjes voorhanden, zoals phishingpanels of malware-pakketten, die ook criminelen zonder technologische kennis in staat stellen op vernuftige wijze online mensen geld afhandig te maken. „Dat is niet het prototype waar we Hack Right voor ontwikkeld hebben”, zegt Jansen. „Maar we zijn niet naïef: je hebt ook daders, zeker als ze verder doorgroeien in hun criminele carrière, die uiteindelijk iets doen voor geld of om rottigheid uit te halen. Het is voor ons ook een zoektocht om uit te vinden hoe die dadergroep in het programma past.”

Hacker Frank ontliep uiteindelijk via Halt een strafblad, maar moest wel verplicht meedoen aan Hack_Right. Hij liep mee bij Deloitte in Zwolle, sprak diverse ethische hackers. „Daar leerde ik mijn vaardigheden inzetten op een goede manier”, zegt Frank. „Het is mijn droom om later iets met hacking te doen. Zij hebben me echt de andere kant laten zien van het hacken.” Inmiddels volgt Frank een mbo-opleiding software development.

In zijn vrije tijd hackt hij nog steeds, maar nu wel volgens de wettelijke spelregels: dus vooral handmatig en alleen bij bedrijven of instellingen die dat toestaan – wat in vaktermen een responsible vulnerability disclosure-programma heet. Franks nieuwste doel is eindigen op zoveel mogelijk hall of fames–online erelijsten van hackers die bij hebben gedragen aan het veiliger maken van de website. „Het shirtje van de overheid vind ik nog steeds de allermooiste. Hij hangt achter mijn computer. Ik trek hem nog weleens aan als ik naar een belangrijke afspraak ga. Mensen kijken dan wel twee keer en denken: een jongetje van 17 dat de overheid gehackt heeft.”