Via een gecoördineerde actie is eind oktober het zogenoemde Bredolab-botnet, bestaande uit miljoenen geïnfecteerde computers in binnen- en buitenland, offline gehaald. Het Team High Tech Crime (THTC) van het Korps Landelijke Politiediensten (KLPD) slaagde er, in samenwerking met IT-Security bedrijf Fox-IT, GOVCERT en accesprovider Leaseweb, in om de command-and-controlservers en andere belangrijke servers van het botnet ontoegankelijk te maken. De gebruikers van geïnfecteerde pc’s werden daarvan via een bericht in hun browser op de hoogte gebracht, vergezeld van een link naar een pagina met informatie over hoe de lek op de computer kon worden gedicht. Om dit mogelijk te maken moest de C&C server van de Armeense cybercrimineel worden gehackt. Een opsporingsmethode die minister Opstelten een plek in het Wetboek van Strafvordering wil geven.

De unieke actie kreeg veel aandacht in de nationale en internationale pers. Maar naast lof ontving de actie ook veel kritiek. Zo zou de politie haar opsporingsbevoegdheden te buiten zijn gegaan en zou de omvang van het botnet en het succes van de actie zijn overdreven. In een interview met FutureOfCopyright reageren Lodewijk van Zwieten (Officier van Justitie van het Landelijk parket, Cybercrime) en Pim Takkenberg (KLPD, Team High Tech Crime) op enkele kritische opmerkingen uit de media.

Hoe ernstig is eigenlijk de dreiging die uitgaat van een botnet? Is het publiek/politiek/media hier voldoende van op de hoogte?

“Botnets zijn het Zwitserse zakmes van cybercriminelen. Via botnets kunnen op grote schaal computers geïnfecteerd worden met de meest uiteenlopende malware. Vervolgens kunnen de beheerders van de botnets uit de geïnfecteerde computers gevoelige en waardevolle gegevens stelen, zoals creditcardgegevens. Die gegevens kunnen zij zelf gebruiken of verder verhandelen. Er bestaat een levendige handel in creditcardgegevens, die per duizenden tegelijk worden aangeboden op ondergrondse internetfora. Computers in een botnet kunnen ook worden besmet met malware die cybercriminelen in staat stelt om een sessie van internetbankieren te infiltreren of over te nemen. Vervolgens kunnen zij direct geld overschrijven vanaf de rekening van het slachtoffer naar hun eigen rekening. Een andere veelgebruikte toepassing van een botnet is het uitvoeren van denial-of-service aanvallen. Dat kan gebeuren uit ideologisch motief of vergezeld gaan van afpersingspraktijken (‘als je ons niet binnen 24 uur USD 10.000 geeft, leggen we jullie systemen plat’, of iets dergelijks).”

Verschillende media beweerden dat het aantal van 30 miljoen besmette computers een ruime overschatting was. Wat is volgens jullie de meest reële schatting van het aantal geïnfecteerde computers?

“In de periode dat wij zicht hebben gehad op het netwerk, zagen wij dat in één maand tijd vanuit het netwerk 3 miljoen infecties plaatsvonden. Dat is niet hetzelfde als 3 miljoen PC’s die geïnfecteerd zijn. Mogelijk is sprake van systemen die meerdere keren zijn besmet. We hebben sterke aanwijzingen dat vanuit dit netwerk sinds juni 2009 wereldwijd ruim 30 miljoen infecties hebben plaatsgevonden, en nog eens 30 miljoen pogingen daartoe. Daarbij hebben we de infecties met de Bredolab malware en andere malware, die op verzoek van de klanten van de verdachte door hem werd verspreid, bij elkaar opgeteld.” 

Volgens berichten van het OM zou Leaseweb alle medewerking hebben verleend in het offline halen van het botnet, terwijl de media berichten dat Leaseweb zelf zegt hiertoe gedwongen te zijn door een gerechtelijk bevel. In hoeverre is accessprovider Leaseweb gedwongen om mee te werken?

“Met LeaseWeb en ook andere publieke en private partijen werken de Nationale Recherche en het Landelijk Parket al enige tijd samen om botnets te bestrijden. Deze samenwerking draagt de naam Project Taurus. Vanuit deze samenwerking is onderzoek Tolling, dat zag op het Bredolab netwerk, gestart. Om relevant strafrechtelijk bewijs te verzamelen, is gebruik gemaakt van bijzondere opsporingsbevoegdheden en zijn diverse vorderingen tot medewerking aan LeaseWeb gedaan. Maar er is ook een overeenkomst met LeaseWeb aangegaan om de verdere samenwerking in het onderzoek vorm te geven. Wij kunnen een partij niet dwingen om een dergelijke overeenkomst aan te gaan.” 

Er wordt in de media op uiteenlopende wijze uitleg gegeven aan wat er nu technisch is gebeurd bij het offline halen van het botnet en het waarschuwen van de gebruikers van de geïnfecteerde pc’s. Hoe is dit nu precies gegaan volgens jullie?

“Bij het ontmantelen van een botnetwerk als Bredolab moeten meerdere maatregelen naast elkaar worden getroffen. Het enkel offline halen van de command and control-servers is vrij zinloos. De kans is groot dat het botnet zich dan in korte tijd opnieuw opbouwt vanuit een andere command and control-server, die de taken overneemt van de server die offline is gegaan. Om maximaal resultaat te bereiken, hebben we er daarom voor gekozen om de geïnfecteerde computers een executable (een .exe-bestandje, red.) te sturen, een klein bestand dat werd uitgevoerd zodra het door een bot op een geïnfecteerde computer werd binnengehaald. Dat bestand liet een pop up waarschuwing zien op het scherm van de computer, zodat de gebruiker wist dat de computer besmet was.

We hebben er bewust voor gekozen om geïnfecteerde computers niet direct te ontsmetten. Het gevaar dat je dan loopt om gevoelige systemen ernstig te beschadigen of te laten crashen is veel te groot.“Het is niet zo dat we de bots op de geïnfecteerde computers hebben vervangen door een bot van onszelf. Er is door ons geen software geïnstalleerd op de geïnfecteerde computers. Er is alleen de executable verzonden. Om de gebruikers van de geïnfecteerde systemen te waarschuwen, hebben we dus gebruik gemaakt van de infrastructuur die onze verdachte al had opgezet. Naast het verzenden van een directe waarschuwing, hebben we de IP-adressen van de geïnfecteerde computers ook via GovCERT wereldwijd laten verspreiden aan andere CERTs, zodat deze ISP’s zouden kunnen inlichten over besmettingen van klanten. De ISP’s zouden dan vervolgens de individuele klanten kunnen benaderen om hen in te lichten en te helpen de computer te schonen.”  

Volgens sommige in de media aangehaalde experts staan de vorm van opsporing die de politie heeft toegepast op gespannen voet met privacy. Is er naar jullie mening sprake van een ongerechtvaardigde inbreuk op de privacy van internetgebruikers?

“Bij de inzet van opsporingsmiddelen is doorgaans al heel snel sprake van inbreuken op de privacy. Afhankelijk van het middel dat wordt ingezet, betreft het de privacy van verdachten, betrokkenen of slachtoffers. Dergelijke inbreuken zijn gerechtvaardigd wanneer ze noodzakelijk zijn in een democratische samenleving, zo stelt het Europees Verdrag voor de Rechten van de Mens. In dit geval gaf het tappen van de servers bij LeaseWeb zicht op IP-adressen van geïnfecteerde systemen. Dat op zichzelf is al een inbreuk op de privacy, maar die inbreuk vond plaats op basis van een wettelijke bevoegdheid, met machtiging van de rechter-commissaris en was dan ook geoorloofd in het belang van de rechtshandhaving. Het sturen van de waarschuwing naar alle geïnfecteerde systemen leverde zeker geen verdere privacyschending op. Het versturen van de waarschuwing zien wij niet als het inzetten van een opsporingsmethode. Het is eerder een maatregel in het algemeen belang, ter bescherming van de openbare orde op het internet, zo je wilt. En bovendien ter voorkoming van verdere schade. Het versturen van de maatregel heeft aan het vergaren van het bewijs in deze zaak niets bijgedragen.” 

Toch hebben velen kritiek geuit op de rechtmatigheid van de actie. Bestaat of bestond de mogelijkheid om controle te nemen over de computers van burgers? En op basis van welke bevoegdheid handelde de politie? 

“We hebben zeker niet de controle over de geïnfecteerde systemen overgenomen. Het versturen van de waarschuwing kun je in redelijkheid toch niet zien als een actie waarmee je als heer en meester over die geïnfecteerde computer beschikt? De basis is tweeledig geweest. In de kern was de basis artikel 2 van de Politiewet. Dat is het artikel waarin de algemene taakstelling van de politie is omschreven: bescherming van de openbare orde en van de rechtsorde. Door het verzenden van de waarschuwing werden echter wel gegevens toegevoegd de geïnfecteerde systemen. Die handeling is op zichzelf strafbaar gesteld in art. 350a van het Wetboek van Strafrecht. Dat artikel bepaalt echter ook dat wanneer het toevoegen of wijzigen van gegevens gebeurt om schade te voorkomen, die handeling niet strafbaar is. Om die reden vinden wij dat wij het met versturen van de waarschuwing niet strafbaar hebben gehandeld. Ik vraag met trouwens af of deze discussie ook zou zijn ontstaan indien we gebruikers van geïnfecteerde computers hadden gebeld of een e-mailbericht hadden gestuurd. Wat wij hebben gedaan verschilt daar niet wezenlijk van. De inbreuk op de privacy was ook veel kleiner, omdat we geen onderzoek hoefden te doen teneinde telefoonnummers en e-mailadressen te achterhalen.”

Is er ook ingegrepen in computers in het buitenland en zo ja, op grond van welke bevoegdheid handelde de politie en ontvingen zij ook de Nederlandse waarschuwing in hun browser?

“Ja, er zijn ook waarschuwingen verzonden naar computers in het buitenland. Het klopt dat de Nederlandse politie en het OM geen bevoegdheden hebben om op te treden in het buitenland, maar in dit geval was er naar onze mening sprake van een acuut conflict van plichten. Overigens is er vanuit de hele wereld aangifte gedaan van de besmetting. Er zijn inmiddels meer dan 75 aangiften ontvangen, vanuit de hele wereld. Er is ook vanuit de hele wereld door opsporingsdiensten en internetbedrijven erg positief gereageerd op onze actie.” 

Sommige partijen uitten kritiek op de wijze waarop gebruikers van geïnfecteerde computers werden gewaarschuwd. De waarschuwing die de politie via de browser naar de gebruikers van de geïnfecteerde computers zond, zou door criminelen kunnen worden misbruikt om daarop lijkende, misleidende e-mails te sturen. 

“Het is altijd makkelijk om de inspanningen van een ander af te kraken en die af te doen als ‘kortzichtig’. Ja, de waarschuwing die wij hebben verzonden was ‘quick and dirty’ en er zat geen digitaal watermerk o.i.d. in. Tegelijkertijd hebben we echter geprobeerd om via de CERTs en de ISP’s ook nog eens alle slachtoffers te waarschuwen. Bovendien hebben we ook nog eens actief de media gezocht en de waarschuwing via de media laten zien, om potentiële slachtoffers ervan te overtuigen dat de waarschuwing die zij kregen, echt was. Dat criminelen dit kunnen namaken, is voor ons geen reden geweest om het niet te doen. Een inbreker kan je toch ook bellen en zich voordoen als politieagent? Moeten we, om dat te voorkomen, dan als politie geen mensen meer bellen?"

Was er een andere manier dan via de browser van de pc zelf om de pc gebruikers te waarschuwen?

“Natuurlijk. We hadden e-mails kunnen sturen, mensen kunnen (laten) bellen, brieven schrijven e.d. Daarvoor zouden we dan wel heel veel verdere gegevens over de slachtoffers hebben moeten verzamelen, want we hadden nu alleen de IP-adressen. We hadden ook niets kunnen doen natuurlijk. Maar als je niet de moeite neemt om slachtoffers van botnets op wat voor manier dan ook te waarschuwen dat hun computer gekaapt is, moet je botnets sowieso niet willen ontmantelen. En ik weiger om toe te geven aan personen die stellen dat het probleem van botnets niet op te lossen is. Dat is hetzelfde als zeggen dat er altijd inbraken zullen zijn, dus dat het zinloos is om je daar druk over te maken.”

Sommige critici zien gevaren in de wijze waarop het botnet is uitgeschakeld. Zo zou bijvoorbeeld het waarschuwingsbericht makkelijk aan te passen zijn door de url die verwijst naar de politiepagina te veranderen, waardoor pc's via een geïnfecteerde webpagina opnieuw kunnen worden besmet. Klopt het wat deze experts zeggen?

“De waarschuwing is eenmalig verzonden naar de geïnfecteerde systemen. Om die specifieke waarschuwing te manipuleren, zouden cybercriminelen die eerst van de geïnfecteerde computers moeten afhalen, aanpassen en vervolgens opnieuw toesturen. Dat lijkt me nogal omslachtig. We zijn nu ook gestopt met het versturen van waarschuwingen.

Wat aannemelijker is, is dat criminelen een soortgelijke nepwaarschuwing sturen, om mensen naar een webpagina te lokken die vervolgens de computer infecteert. Via een botnet verzenden van dat soort waarschuwingen is zinloos. De computers die je bereikt, zijn immers al gehackt. Ik zie het hooguit gebeuren dat bij bepaalde websites een pop-up verschijnt die mensen naar een andere pagina lokt. Ook dat klinkt vrij omslachtig. Zo’n pop-up zul je niet krijgen bij een site als nu.nl, tenzij die site gehackt is. En dan is het veel zinvoller om bezoekers ongezien te infecteren. 

Blijft over de nepwaarschuwing die mensen via de mail toegezonden krijgen. Als die al niet door een spamfilter bij de aanbieder wordt afgevangen, lijkt me daarvan toch wel duidelijk dat die niet van ons afkomstig kan zijn. Wij verstuurden géén waarschuwingen via e-mail.”

Nederland heeft Armenië een uitleveringsverzoek gedaan om de verdachte in Nederland te kunnen ondervragen. Hoe verloopt de samenwerking met de Armeense autoriteiten?

“De Armeense autoriteiten hebben aangegeven de verdachte zelf te willen vervolgen. Hij wordt dus niet uitgeleverd. Overigens heeft Armenië uitstekende wetgeving op het gebied van cybercrime, die erg lijkt op die van ons. Ik heb alle vertrouwen in de vervolging daar.”

Welk soort dreigingen kunnen we in de toekomst verwachten en wat zal hiervan het effect op de samenleving zijn? 

“Ik kan niet precies voorspellen wat de dreigingen zullen zijn in de toekomst, maar feit is dat cybercriminaliteit big business is. De techniek zal steeds complexer worden en aanvallen zullen steeds grootschaliger worden. Dat kan als neveneffect hebben dat vitale infrastructuren ontwricht raken, zoals het elektronisch betalingsverkeer.

Ik denk dat we ons met z’n allen moeten realiseren dat veiligheid op het internet niet gratis is. ISP’s en fabrikanten nemen al een groot deel van de beveiliging voor hun rekening, maar er is geen beveiligingsprogramma dat 100% veiligheid biedt. Ook digitale technieken die worden toegepast in bijvoorbeeld het elektronisch betalingsverkeer zullen nooit 100% veilig zijn. Veiligheid en gebruikersgemak bijten elkaar. Een deel van de beveiliging zal altijd bij de gebruiker blijven liggen, tenzij we bereid zijn om onze eigen beslissingsvrijheid op te geven.

Gratis geld bestaat niet, dus mailtjes die je gratis geld in het vooruitzicht stellen, zijn gevaarlijk. En iedereen is altijd net die miljoenste bezoeker die een auto of een smartphone heeft gewonnen. Criminelen weten wat mensen beweegt en spelen daar handig op in. In de veiligheid van computergebruik is de gebruiker zelf de laatste schakel. Door twee keer na te denken en verantwoord gebruik te maken van het internet, e-mail en andere digitale technieken, voorkom je al een hoop potentiële narigheid.“ 

Tot slot, hoe zien jullie de toekomst van bestrijding van cybercrime? Is de huidige politieorganisatie hiervoor goed toegerust en zijn de bevoegdheden toereikend?

“De bestrijding van cybercrime zal moeten blijven meebewegen met de techniek, net zoals de criminaliteit dat zelf ook doet. In de aanpak van cybercrime zullen we dus steeds alert moeten zijn op nieuwe technieken, maar zelf ook nieuwe technieken als eerste durven toepassen. Goede wet- en regelgeving is daarvoor essentieel.”