De overheid is niet laks geweest in de bestrijding van het Pobelka-botnet dat vorig jaar werd ontdekt, zo laat Minister Opstelten van Veiligheid en Justitie aan de Tweede Kamer weten. Beveiligingsbedrijf SurfRight en Digital Investigation publiceerden in december informatie over het Pobelka-botnet, dat uit 150.000 voornamelijk Nederlandse Windows-computers bestond.

De malware verspreidde zich onder andere via gehackte Nederlandstalige websites en infecteerde bezoekers die beveiligingsupdates voor populaire programma's niet hadden geïnstalleerd. Eind december werd bekend dat het botnet zeker 750GB aan informatie van slachtoffers had buitgemaakt. IT-journalist Brenno de Winter kreeg een deel van de gegevens te zien.

Datadiefstal
Het bleek onder andere om de netwerkindeling van een grote multinational te gaan, lopende zaken van een gerenommeerd advocatenkantoor en komende rechtszaken, productontwikkeling van een technologisch hoogstaand bedrijf, welke medewerker op een ministerie precies aan welke Kamervragen werkt en de informatie die op diverse redacties circuleert.

Maar ook zaken als welke software precies op welke computer staat, hoe de politie precies haar werk doet in een zaak, welke medewerkers in een ziekenhuis welke verslagen schrijven en de productiviteit van een ambtenaar die zijn dag vooral op Facebook besteedt.

Bij de publicatie van de details werd ook een website gelanceerd waarmee internetgebruikers en organisaties konden controleren of zij ook onderdeel van het botnet waren.

Nederland
Begin januari volgde een analyse van het Delftse beveiligingsbedrijf Fox-IT dat het hier niet om een speciaal botnet ging. "Het Pobelka-botnet is één van de vele botnets actief in Nederland. Helaas is het geen bijzonder groot of invloedrijk botnet, maar eerder van een gemiddelde grootte", aldus de beveiliger.

Lange tijd bleef het stil rondom het Pobelka-botnet, totdat de NOS weken later er een uitzending aan wijdde en de overheid betichtte van het laks reageren op de infecties.

Reactie
Volgens Opstelten is er geen sprake van laks optreden. "De overheid zet meerdere middelen in om botnets, zoals het Pobelka-botnet te bestrijden, en heeft dat ook in dit geval gedaan." De minister laat weten dat het Pobelka-botnet onderdeel van de bredere familie van Citadel-botnets is. "In de afgelopen Cyber Security Beelden is dan ook ingegaan op de problematiek rond botnets."

Opstelten wijst naar de factsheet “Verlos me van een botnet” van het Nationaal Cyber Security Center. "Hierin wordt beschreven wat gebruikers kunnen doen als zij besmet zijn met malware en daardoor mogelijk onderdeel zijn van een botnet."

Harde schijf
Uit de brief van Opstelten blijkt dat medewerkers van het Team High Tech Crime (THTC) op 16 oktober 2012 bij Digital Investigation waren langsgegaan om een kopie van de data op de harde schijf te maken. De kopie bleek later niet leesbaar te zijn. Op 20 november bracht het THTC weer een bezoek aan Digital Investigation. Toen bleek er geen directe relatie te zijn tussen Pobelka en de uitbraak van het Dorifel-virus bij de overheid eerder in 2012.

Op 26 november werd het NCSC bij het onderzoek betrokken. De organisatie vroeg Digital Investigation om de IP-adressen, computernamen en tijdstippen dat de besmette computers binnen het botnet actief waren. Het ging dan voornamelijk om gegevens om de 'achterban' van Rijksoverheid in te lichten.

"Het NCSC had geen rechtsbasis om de resterende inhoudelijke en mogelijk gevoelige gegevens in te zien en te verwerken. De informatie was immers oorspronkelijk afkomstig van een misdrijf en bevatte persoonlijke gegevens en informatie waarvan de betrouwbaarheid en herkomst niet kon worden vastgesteld. Tevens stond niet vast stond hoe Digital Investigation deze informatie had verkregen", schrijft Opstelten.

IP-adressen
In december werden de IP-adressen van de besmette computers vergeleken met de bij het NCSC bekende IP-ranges. Naar aanleiding van de resultaten hiervan zijn een zestiental departementen en instellingen actief geïnformeerd over een mogelijke besmetting omdat een match met mogelijk besmette IP-adressen werd vastgesteld in de IP-range.

De overige IP-adressen zijn vervolgens en eveneens in december 2012 aangeboden aan de Internet Service Providers (ISP) om hen in staat te stellen hun klanten te informeren wanneer zou blijken dat deze mogelijk besmet zouden zijn.

Dataset
Opstelten stelt dat naar aanleiding van de uitzending van het NOS-journaal onderdelen van de dataset in de openbaarheid zijn gekomen en daarmee het risico van misbruik groter is geworden.

"Daarnaast is door een aantal partijen de suggestie gewekt dat hierbij mogelijk grote belangen geschaad zouden zijn. Om deze reden is het van belang om de dataset in een brede context te analyseren om de potentiële impact van gegevens in de dataset in te schatten."

De resultaten van dit onderzoek zouden in de tweede helft van maart beschikbaar moeten zijn. Tevens is er een strafrechtelijk onderzoek opgestart.