In gesprek met de 18-jarige die Nederlandse Belastingdienst en banken platlegde
Een 18-jarige jongen uit Oosterhout wordt verdacht van de ddos-aanvallen die Nederlandse banken en de Nederlandse Belastingdienst platlegden. Voor zijn arrestatie sprak de Volkskrant hem, per mail, waarbij hij vertelde waarom hij het deed en hoe hij te werk ging.
We krijgen contact na een eenvoudige vraag. "Wat is je motivatie om dit te doen?'
Antwoord, acht minuten later: "Omdat het grappig is."
Het is woensdag 31 januari vroeg in de ochtend en er ontstaat een mailwisseling met iemand die zegt achter de reeks ddos-aanvallen te zitten. Het e-mailadres blijkt hij ook in andere contacten te gebruiken. Is dit een grappenmaker? Of is hij daadwerkelijk de persoon die op dat moment voor veel onrust zorgt? En wie is hij?
Speculatie over dader
"Mensen in paniek, gelijk alles naar de Russen wijzen. Veel media-aandacht, genoeg redenen om het te doen", mailt hij ook nog.
Banken, de Nederlandse Belastingdienst en ook Digid, het identificatieplatform van enkele Nederlandse overheidsdiensten, worden eind januari dagenlang getroffen door vrij heftige ddos-aanvallen. Bij sommige - ING, ABN Amro, Rabobank - gaan de systemen offline en kunnen gebruikers niet inloggen en tijdelijk niet internetbankieren. Dick Schoof, de nationaal coördinator terrorismebestrijding en veiligheid, zegt dat de aanvallen "geavanceerder" zijn dan hij in het verleden heeft gezien.
Over de dader of daders wordt in media volop gespeculeerd. Sommigen wijzen naar Rusland
Over de dader of daders wordt in media volop gespeculeerd. Er kan een land achter zitten, het kunnen criminelen zijn of pubers die zin hebben in pesterijen en aandacht. Sommigen wijzen naar Rusland. Een paar dagen eerder hebben de Volkskrant en Nieuwsuur onthuld dat hackers van de AIVD jarenlang toegang hadden tot de beruchte Russische hackgroep Cozy Bear. Zou dit een reactie daarop zijn? Het is gissen. De Telegraaf publiceert een bericht waarin staat dat de aanvallen via Russische servers gaan. Dat zegt niets over de eventuele herkomst.
Voor Ali Niknam begint het in november opnieuw. Niknam (36) is de oprichter van Bunq, een moderne betaaldienst en concurrent van traditionele banken. Bunq is twee maanden eerder het slachtoffer van serieuze ddos-aanvallen. Het is een vorm van online pesten, een lompe manier om computernetwerken plat te leggen: door in korte tijd zeer grote hoeveelheden informatiepakketjes naar een website of een computer te versturen bezwijken de servers. Zoals een weg een maximaal aantal auto's per uur aankan, zo heeft een organisatie een maximale internetcapaciteit. Als een aanvaller meer data vraagt, is het netwerk niet langer in staat het internetverkeer fatsoenlijk af te handelen. Dat zorgt voor storingen.
'Leuk target'
De dader zegt dat hij het doet "om te laten zien dat een tiener gewoon alle banken kan platleggen met een relatief simpele aanval".
Tegenvraag: "Waarom de banken?"
Hij: "Banken horen het gewoon goed voor elkaar te hebben, dus dat is een leuk target om plat te krijgen. Vooral omdat veel mensen er dan ook last van hebben." En dan: "Heb overigens niet alleen de banken aangevallen..."
Niknam heeft geen idee waarom Bunq wordt aangevallen. Zijn medewerkers werken dag en nacht om de aanvallen af te slaan en zoeken ondertussen naar meer informatie over de dader.
Banken horen het gewoon goed voor elkaar te hebben, dus dat is een leuk target om plat te krijgen
Daarvoor is geduld nodig. Een methode om te weten wie achter de ddos-aanvallen zit is om de logbestanden goed te bekijken. Daarin staan de IP-adressen van alle bezoekers van een site. Sommige daders bezoeken vlak voor of vlak na een aanval met hun eigen IP-adres een website. Door nauwkeurig de logbestanden te bestuderen, kan een patroon zichtbaar worden.
Specifieke technische kennis voor een ddos-aanval is niet vereist. Online zijn kant-en-klare-ddos-pakketjes te koop. De koper koopt daarmee bijvoorbeeld toegang tot een botnet, dat is een grote verzameling apparaten die tegelijk de aanval zullen openen. Criminele hackers bezitten dit soort botnets en stellen ze tegen prijzen vanaf 20 dollar beschikbaar. Dit soort diensten, die ook legaal kunnen zijn om de eigen netwerkcapaciteit te testen, heten booter of stresser. Je kunt ze huren om ddos-aanvallen mee uit te voeren.
"Doe je het via een booter of stresser? Of handmatig?"
"Jep, een booter waar ik 50 euro voor een week aan heb uitgegeven en die dan 50-100gbps belooft."
50GB per seconde is redelijk wat. Vanaf 100GB per seconde is vrijwel elke website plat te leggen.
Geen aangifte, maar vrijwilligerswerk
Bunq is de dader in september op het spoor als een jongen zich bij het bedrijf meldt. Hij is de aanvaller en hij heeft spijt. Hij is 18 jaar en hij zit nog op school. Niknam: "Hij bood oprecht zijn excuses aan." Niknam doet iets bijzonders: hij besluit geen aangifte te doen. "Die jongen kon een jaar celstraf krijgen. Dat zou zijn toekomst verknallen." Ze spreken af dat hij een week vrijwilligerswerk zal doen bij Amnesty International. De actie van Bunq krijgt veel bijval in de techgemeenschap.
'"Die jongen kon een jaar celstraf krijgen. Dat zou zijn toekomst verknallen'
Maar in november beginnen de aanvallen opnieuw. Niknam: "Ze waren direct vrij heftig." Bunq weet de uithalen redelijk goed te doorstaan. Het bedrijf heeft filteringapparatuur dat binnenkomend verkeer onderzoekt op legitimiteit. Dat gaat zowel handmatig als geautomatiseerd. Verdacht verkeer laat het apparaat niet door. De app van Bunq blijft daardoor goed functioneren.
Doordat de aanvaller slordig is, krijgt Bunq al snel een beeld van hem. Op het forum van de bank is een gebruiker actief die opvallend snel reageert als de app trager wordt. Bunq bekijkt de IP-adressen van die gebruiker. In de tweede week krijgt Niknam een sterker vermoeden over de dader dankzij tips van gebruikers van chatkanalen waar hij actief zou zijn.
Niknam stuit zelfs op een mailadres. 'Op een vrijdagavond was ik de aanvallen helemaal zat en heb ik 'm gemaild: 'En nu nokken want we willen slapen.' Vijf minuten later begon het weer." Niknam doet nu wel aangifte.
"Dit was echt groot en heeft ons handenvol werk gekost. Voor ons was toen al vrij duidelijk om wie het ging." De politie start een onderzoek. Die wil eigen bewijs verzamelen voor een rechtszaak. En bekijkt ook andere bronnen.
'Op een vrijdagavond was ik de aanvallen helemaal zat en heb ik 'm gemaild: 'En nu nokken want we willen slapen.''
Tweakers en ABN Amro
"Wanneer ben je begonnen?"
"Zaterdag. Eerder ook al maar dan niet met een groot booter-pakket."
Het blijft lange tijd onrustig. De aanvaller blijft Bunq op verschillende manieren bestoken. Het lukt echter niet om impact te hebben. Eind januari verandert hij van strategie. De aanvallen worden diverser en heviger. ABN Amro is op 27 januari slachtoffer en kampt met storingen. Internetbankieren kan tijdelijk niet. Twee dagen later wordt ook technologiesite Tweakers bestookt.
Hij stuurt een document van IPstresser, een dienst die gebruikt wordt om de eigen capaciteit te testen maar dat ook als aanvalswapen fungeert. Het is een lijst met IP-adressen van een van zijn doelwitten. "Met deze aanvallen ben ik begonnen", staat erbij.
Door de hevige aanvallen eind januari beginnen meerdere onderzoeken. Rickey Gevers van RedSocks vindt ook een spoortje naar de mogelijke dader. Ergens ziet hij een nick-name opduiken die al eerder is gebruikt bij een ddos-aanval. En dat leidt hem naar een ip-adres. Gevers: "Na drie dagen zoeken had ik een goed beeld van de dader."
Hij komt in contact met Tweakers dat na de aanvallen ook een eigen onderzoek start.
"Hoe kan ik weten dat je de waarheid spreekt?"
"Geef me een IP-adres en ik voer exact dezelfde aanval daarop uit."
"Maar dan moedig ik je aan om iets te doen wat niet mag. Daar wil ik niet bij betrokken raken."
"Waarom vraag je dan om bewijs als ik die toch niet kan leveren? En ik wil graag weten hoe je aan dit mailadres bent gekomen."
"Over mailadres: dat kan ik niet zeggen."
Aanval op de Volkskrant
Het lijkt iemand met geldingsdrang. Die kickt op de aandacht. Bij Tweakers meldt hij zich onder pseudoniem in het chatkanaal en eist de aanvallen op. Hij gaat wat slordig te werk en schermt zijn IP-adres niet goed af waardoor de systeembeheerder weet uit te vogelen dat de dader ook een account op Tweakers heeft. Met dat account heeft hij meerdere nieuwstips over de ddos-aanvallen naar de redactie gestuurd.
Op woensdagmiddag 31 januari om 16.00 uur lopen redacteuren van de Volkskrant van hun bureaus en klinkt gezucht en gevloek. Het internet ligt eruit. Mailen of in het systeem werken is niet mogelijk.
'Hartstikke grappig als een bank platgaat door een aanval die je zelf initieert'
Vraag: "Val je de Volkskrant aan?"
Drie minuten later antwoord: "Deed ja."
Even stil. "Nu helemaal gestopt als het goed is :)"
Een fractie later werkt alles weer en buigen redacteuren zich weer over hun toetsenbord.
"Maar wil je nog vragen stellen of was dit het?"
Online-kattekwaad
"Belangrijkste is waarom je het doet en of je niet bang bent gepakt te worden? En wie ben je?"
"Hartstikke grappig als een bank platgaat door een aanval die je zelf initieert. Dat het daarna in het nieuws komt, en dat heel veel mensen speculeren dat het de Russen zijn. Ik ben zeker bang om gepakt te worden, maar dat hoort er maar bij... Mijn leeftijd zit ergens tussen de 16-20, ben een student op het mbo."
Ddos-aanvallen zijn online-kattekwaad. Het blijken vaker tieners te zijn. Wereldwijd gaat het om zo'n 30.000 aanvallen per dag, hoewel de grootte en de aard sterk kunnen verschillen. President Klaas Knot van De Nederlandsche Bank zei onlangs dat de website van DNB elke seconde wordt aangevallen. Voor ddos-aanvallen met beperkte impact eist het OM een taakstraf van 60 uur. Maar dit zijn serieuze en langdurige aanvallen. De gevolgen zijn voor sommige bedrijven groot. De inzet van extra personeel, onderzoek en extra apparatuur kost tienduizenden euro's. Dit is allang geen pesten meer. Zou hij zich dat realiseren?
"Als ik dit nog kon terugdraaien had ik dat zeker gedaan..."
"Val je alle banken aan of zijn er ook nog anderen?"
"Ik doe het in ieder geval niet met iemand anders, en heb nog geen bank plat zien gaan, zonder dat ik het was."
"Had jij Bunq ook aangevallen?"
"Jep, maar Bunq doe ik al een stuk langer hoor dan die andere banken."
"Sinds wanneer?"
"19 november. En daarvoor ook nog veel meer, maar die kan ik beter niet vertellen want dat kan mijn identiteit naar boven brengen."
Dat is zijn laatste mail. Het is donderdagmiddag 1 februari. Even later zal Jelle S. uit Oosterhout door de politie worden aangehouden. Het onderzoek is afgerond. Hij is 18 jaar en zit op het mbo. Het is dezelfde jongen die zich in september vrijwillig meldde bij Bunq en een week vrijwilligerswerk deed. Het is onbekend of hij alleen handelde. De politie doet nog onderzoek. Dinsdag 6 februari meldt het OM dat hij nog minstens twee weken blijft vastzitten en wordt verdacht van de ddos-aanvallen op onder andere de Belastingdienst en Bunq. Hij kan een celstraf van enkele jaren krijgen.