update:english translation
Voor verspreiden elektronische jihadboodschap
Internetsites doelwit Al-Qaeda
AMSTERDAM – Al-Qaeda heeft Nederlandse internetsites gekraakt voor het verspreiden van jihadboodschappen.De terreurorganisatie beschikt over wachtwoorden voor de netwerken van de Universiteit Twente en het Landelijk Antidiscriminatie Bureau. Ook een internetadres van telecombedrijf Essent Kabelcom is gebruikt door hackers van Al-Qaeda. Dit blijkt uit onderzoek van Amerikaanse terreurbestrijders. De Nederlandse sites staan in een handboek van Al-Qaeda voor het kraken van websites.
De Nationaal Coördinator Terrorismebestrijding (NCTb) heeft dezelfde informatie, maar houdt de lijst met kwetsbare sites geheim. “Wij zijn door de NCTb niet op de hoogte gesteld van dit potentiële veiligheidslek “, aldus het bestuur van ‘Studenten Net Twente’ in een reactie.Het handboek van Al-Qaeda vermeldt een wachtwoord dat toebehoort aan een Twents studentendispuut. Volgens het studentennet is het wachtwoord inmiddels niet meer te gebruiken. Het Landelijk Antidiscriminatie Bureau reageert verbijsterd. “Het wachtwoord is bij ons nog wel in gebruik, maar ook wij zijn niet gewaarschuwd. We gaan onmiddellijk maatregelen nemen” , meldt een woordvoerder. Essent Kabelcom wist ook van niets en onderzoekt hoe een abonneesite in handen kwam van Al-Qaeda. “De pagina is niet meer opvraagbaar, maar wellicht bevat het internetadres onzichtbare informatie” , aldus een zegsman. De handleiding voor het kraken en kapen van westerse sites is samengesteld door het Global Islamic Media Front, de spreekbuis van Al-Qaeda. De Telegraaf verkreeg een kopie van het Amerikaanse SITE-instituut, waar dagelijks de ‘elektronische jihad’ in kaart wordt gebracht. Het 74 pagina’s tellende document beschrijft nauwgezet elke stap voor het binnendringen van internetsites en het plaatsen van propaganda. Brein achter de kraakmethoden is de Brit Younis Tsouli, alias ‘Irhabi 007’. De meesterhacker zit vast in Londen.
Klinkt spannend, toch? Even een korte, kritische analyse.
1: SITE-instituut
Dat blijkt 10 maanden terug een artikel bij monde van de directeur en een ‘senior staff member’ gepubliceert te hebben over Younis Tsouli. De Washington Post heeft daar een dag later een stuk over geschreven. En zo hoort het. Nieuws hoort actueel te zijn. (De Telegraaf heeft het over “onderzoek van Amerikaanse terreurbestrijders” maar noemt geen bron anders dan de verwijzing naar SITE. Bij SITE komt de naam Tsouli drie maal voor. In het aangehaalde artikel, in een persbericht over het artikel en in een overzicht van nieuw geplaatste artikelen.)
2: Handleiding
De handleiding zelf is niet snel te vinden. Op m’n zoektochtje vind ik wel 2 sites met een lijstje waar Essent, utwente en lvadb samen in voorkomen. Dat lijkt nog het meest op een handleiding wwwboard ‘kraken’. De ‘hack’ is al sinds ergens in 2000 bekend, en bepaald niet spectaculair. Het ‘uitvoeren’ van de ‘hack’ levert je een bestand op met gebruikersnamen en gecrypte wachtwoorden. Je moet dan zelf nog het goede ongecrypte wachtwoord erbij zoeken. Dat kan, afhankelijk van de complexiteit van het wachtwoord, enkele uren tot tienduizenden jaren duren.
3: Lijstjes
Zoals gezegd: er zijn twee ‘handleidingen’ met de resultaten van een scan ergens uit 2003 naar mogelijk te hacken websites. De een lijkt een iets verder uitgewerkte versie van de ander, maar ze zijn inhoudelijk vrijwel identiek.
4: Hacken
De Universiteit Twente heeft inmiddels laten weten dat de machine waar naar verwezen wordt in de twee lijstjes bij de grote brand aldaar in november 2002 verloren is gegaan, en dat die machine niet vervangen is, en ieder wachtwoord wat er al rond zou slingeren sinds die tijd onbruikbaar is.
Het LVADB heeft voor een discussie een aantal maanden een forum online gehad. Dat is na het afronden van de discussie weer verwijderd. Wanneer is niet helemaal duidelijk, maar nog in 2003.
5: ‘Gebruikt voor propaganda’
De LVADB-site is op geen moment gebruikt door iemand anders dan de reguliere gebruikers. De Universiteit Twente heeft geen geregistreerde incidenten met ‘Al-Qaeda’-propaganda. En de reactie van Essent is wat onduidelijk, maar ook daar zijn geen incidenten bekend. De Telegraaf noemt geen bron en geeft geen verwijzing naar enig mogelijk incident. Men liegt gewoon een beetje.
6: Geheime lijst (1)
De NCTb houdt de lijst met kwetsbare sites geheim, volgens de Telegraaf. Klik hier om ter plekke uw eigen lijstje te maken. Blijkbaar voegt volgens de Telegraaf spreken over een ‘geheime lijst’ iets toe aan het artikel. Stoerdoenerij die helemaal nergens over gaat, volgens mij.
Samengevat: De Telegraaf schrijft een artikel over een tien maanden oud bericht uit een Amerikaanse krant wat verwijst naar 4 jaar oude informatie die in beslag genomen is. De informatie heeft het over een mogelijke kwetsbaarheid in 7 jaar oude software, bevat geen passwords of gebruikersnamen, enkel aanwijzingen hoe die mogelijkerwijs te verkrijgen, en geeft een aantal mogelijke slachtoffers voor het misbruiken van de kwetsbaarheid.
Omdat zo’n artikel iedere geloofwaardigheid mist besluit de Telegraaf zelf nog een aantal elementen toe te voegen. Zo liegt de Telegraaf over daadwerkelijk misbruik van de sites (of doet in ieder geval héél erg z’n best die indruk te wekken), men verzint uitspraken van medewerkers die ‘nergens van weten’ en die ‘wachtwoorden nog in gebruik hebben’. En men verzwijgt wijselijk over hoe oud dit nieuws is.
Zelfs uit het riool komen nog betere artikelen dan dit gekropen.
(1) Na het schrijven van bovenstaande heb ik met de persvoorlichter van de NCTb gesproken. Ze bevestigd dat er inderdaad geweigerd is een exemplaar van het rapport aan de Telegraaf te geven. Het rapport in kwestie is gekocht, en het weggeven van auteursrechtelijk materiaal is verboden, ook aan journalisten. De Telegraaf is vertelt dat ze zelf een exemplaar zullen moeten kopen bij SITE.
Anderen over hetzelfde onderwerp:
En de ‘media’ die het minder netjes doen:
Internetsites target of Al-Qaeda
for delivering jihad-messages
AMSTERDAM – Al-Qaeda hacked Dutch websites for dissemination of jihad-messages.The terror-organisation has access to passwords for the network of the University of Twente and the National Organisation of Anti-Discrimination bureaus. A internet-address of Essent Telecom, a Dutch telecommunication Provider has also been used by Al Qaeda. This has been shown by research by American counter-terrorism experts. The Dutch sites have been named in a Al Qaeda-manual for hacking websites.
The National Coordinator for Counterterrorism (NCTb) has access to the same information, but is keeping the list secret. “We haven’t been notified of this potential vulberabity by the NCTb“, according to staff of Student Net Twente in a reaction to the news.
The Al Qaeda manual mentions a password that belongs to a student fraternity from the university. According to Student Net Twente the password has been disabled. The National Organisation of Anti-Discrimination bureaus is bewildered by the news. “The password is still in use, and we have not been warned. We will take steps immediately” , according to a spokesperson. Essent Kabelcom was also unaware of the situation and is investigating how a subscriber-site came in hands of Al-Qaeda. “The page is no longer accessible but the internet-address might contain hidden information” , according to a spokesperson. The guide for cracking and hijacking Western sites has been written by the Global Islamic media front, a media mouthpiece of Al-Qaeda. De Telegraaf obtained a copy from the SITE-institute, which details the ‘electronic jihad’ on a daily basis. The 74-page document describes in detail each step for penetrating internet sites and placing propaganda. Mastermind behind the manual is the briton Younis Tsouli, alias Irhabi 007. The superhacker is currently detained in London.
Sounds terrifying, right? Time for a critical analysis
1: SITE-institute
SITE published an article ten months ago, written by its director and a senior-staff researcher, detailing an analysis of material seized at the arrest of Younis Tsouli. The same story was printed in the Washington Post a day later. And that is how you do it. News should be current. (De Telegraaf talks about “research by American terror-investigators” but doesn’t name any source but a reference to the SITE institute. On the SITE-site I can find three references to the name ‘Tsouli’. Once in the article itself, once in a blurb on the published article and once in an index of published articles.)
2: The manual
I couldn’t find ‘the manual’ itself, despite serious delving. While searching I did find references to the three named sites in postings on fora, together with what looks like a quoted piece of the manual. The quoted material talks about ‘hacking’ wwwboard, which is forum-software. The ‘hack’has been known since the year 2000, weeks after publishing that specific version and isn’t exactly spectacular. ‘Performing’ the ‘hack’ yields a password-file with usernames and (crypted) passwords. To gain access to the ‘hacked’ site one needs to find the unencrypted passwords by trying to match each possible lettercombination to the encrypted version. A process that can take anywhere from hours to many years, depending on the ‘quality’ of the passwords.
3: Lists of sites
As said: I did find lists of possible vulnerable sites which look like a scan performed somewhere in 2003. One looks like an edited and expanded version of another, in effect they are more or less identical in scope.
4: ‘Hacked’
Twente University quickly reported that the machine referenced in the list was destroyed in a catastrophic fire in november 2002 and wasn’t replaced, so any password to that machine couldn’t have been used even before publishing the list. The LVADB-site has had a forum for a thematic discussion in 2003, but after the project ended the forum was removed.
5: ‘ dissemination of jihad-messages.’
The LVADB website hasn’t been used by anyone other than its proper users. Twente University doesn’t have any record regarding Al-Qaeda-related incidents whatsoever. The reaction of Essent Kabelcom is vague, but they also have no registered incidents regarding A-Qaeda. De Telegraaf doesn’t quote examples, doesn’t reference any source whatsoever. They are just lying.
6: secret list
The NCTb is keeping ‘the list’ secret(1), according to De Telegraaf. Click here to generate your very own ‘secret list’. De Telegraaf seems convinced that talking about a ‘secret list’ will add credibility to the article. Bragging about nothing, I think.
In conclusion: De Telegraaf writes an article about a ten months old article reporting about four year old information. The information talks about a seven year old vulnerability in software, doesn’t mention passwords or usernames (just instructions on how to possibly obtain them) and lists a couple of places which just might be vulnerable.
Since an article with so few facts lacks any credibility, De Telegraaf decided to add a couple of interesting elements. They lie about ‘dissemination of jihad-messages’ or at the very least try very hard to give that impression, they make up quotes by ‘staff-members’ that ‘don’t know about anything’ and ‘haven’t changed’ their passwords. And they wisely keep quiet about how old this ‘news’ is.
You’ll see journalism much better than this crawling from the sewer.
(1) Since writing this article I’ve spoken to the NCTb. They indeed refused to give a copy of a specific report to De Telegraaf. The report was bought by the NCTb, and ‘giving’ bought-and-payed-for material away, even to a journalist, is a violation of copyright. De Telegraaf was told to buy their own copy, instead of trying to filch a copy.
Comments are closed.