"Politie overdrijft succes tegen Bredolab botnet"
Het succes dat de Nationale Recherche tegen het Bredolab-botnet zou hebben geboekt is enorm opgeblazen, dat zegt Michel van Eeten, wetenschapper, weblogger en schrijver. Van Eeten werkt als hoogleraar Technische Bestuurskunde aan de TU Delft. Hij hekelt vooral het mediaoptreden, waarin werd voorgedaan alsof het botnet volledig was verslagen. Een aantal dagen later werd echter duidelijk dat sommige command & control (C&C) servers nog operationeel zijn, omdat ze bij niet-Nederlandse hostingproviders waren ondergebracht.
"Een aantal dagen later, toen politie nog van alle lof over hun succes aan het genieten was, herrees het botnet. Gênant? Ja. Verrassend? Niet echt. Het onderstreept een fundamenteel misverstand over de strijd tegen botnets", schrijft Van Eeten. "In tegenstelling tot wat de Nederlandse politie beweert en veel mensen denken, kan justitie geen botnets uitschakelen."
Voorheen werd er altijd gezegd dat de strijd tegen botnets zeer lastig is, maar de afgelopen maanden werd het Waledac-botnet aangepakt en werden tientallen Zeus-criminelen aangehouden. "Waarom is justitie opeens veel succesvoller dan in het verleden?" vraagt Van Eeten zich af.
Het antwoord is volgens hem tweeledig. Ten eerste heeft justitie meer kennis opgebouwd en werkt men beter samen. Het tweede gedeelte is dat men het botnet niet echt uitschakelt, maar een specifiek onderdeel ervan, namelijk de C&C-server. Tijdens de ontmanteling van het botnet bij hostingprovider LeaseWeb en arrestatie van de vermoedelijk Armeense botnetbeheerder, draaide de PR-machine op volle toeren. De uitschakeling werd daarbij zelf opgenomen, waarbij een cameraman een medewerker van het hostingbedrijf filmde die de servers uitschakelde. "Tenminste, dat is wat ze de kijkers wilden laten geloven. In werkelijkheid stonden de servers die Bredolab gebruiken verspreid over het datacentra. Dus lieten ze de werknemer een rack met servers uitschakelen dat al niet meer werd gebruikt en niets met Bredolab te maken had."
Opgeblazen
Volgens Van Eeten stopte het mediaoptreden daar niet en heeft het OM op verschillende manier het succes van hun actie opgeblazen. Zo is niet het hele botnet, maar alleen de C&C-servers uitgeschakeld. Alle besmette machines zijn nog steeds met de Bredolab bot besmet. De aanname dat door het ontbreken van de C&C-servers dit geen risico meer vormt, is volgens Van Eeten een foute conclusie. "Het is begrijpelijk en zeker niet uniek voor de Nederlandse politie om eigen succes op te blazen. Maar het probleem is dat het de rol die justitie in de strijd tegen botnets speelt miskent. Het is één ding om een C&C-server uit te schakelen, maar een ander om een heel botnet uit de lucht te halen." Het uitschakelen van de C&C-servers heeft dan ook alleen op de korte termijn een impact, waarna de oude situatie zich weer snel herstelt. "Het is als het arresteren van een drugsdealer. Als je niet succesvol de infrastructuur ontregelt, wordt hij gewoon door een ander vervangen."
Van Eeten zet ook vraagtekens bij het door politie genoemde aantal infecties van 30 miljoen. Tijdens een periode van maand zegt men drie miljoen besmette machines te hebben gezien, waarna dit naar dertig miljoen werd geëxtrapoleerd. hier zitten echter nog wat haken en ogen aan. Het tellen van unieke IP-adressen kan ervoor zorgen dat machines met dynamische IP-adressen meerdere keren worden geteld. Daardoor wordt de omvang van het botnet met een factor 10 overdreven stelt Van Eeten aan de hand van een eerder uitgevoerd onderzoek.
Aandacht
"Waarom is deze overdrijving relevant? Omdat het wederom het gevecht tegen botnets miskent. In dit gevecht belooft het uitschakelen van C&C-servers een snelle, zichtbare, maar kortstondige overwinning. Snel en zichtbaar betekent dat het politieke aandacht en subsidie trekt." Inmiddels zou het Ministerie van Binnenlandse Zaken een voorstel van de private sector ondersteunen om al het C&C-verkeer te 'blackholen'. Volgens Van Eeten is dit voor verschillende redenen geen goed plan, omdat het de botnets in kwestie niet uitschakelt. "Hoe succesvoller de aanvallen tegen gecentraliseerde C&C-servers, des te meer zullen criminelen andere technieken gebruiken, zoals peer-to-peer C&C. Iets wat al geruime tijd aanwezig is. "Het is dus niet lastig om over te schakelen en de kostbare Nederlandse plannen onbruikbaar te maken."
Van Eeten merkt op dat het echte gevecht het schoonmaken van alle besmette machines is. "Dit is geen heroïsch gevecht met criminelen, maar een arbeidsintensief proces waarbij internetproviders hun eigen klanten waarschuwen." Daarbij maakt het een groot verschil of het om drie of dertig miljoen machines gaat. "Succes in de strijd tegen botnets begint met het begrijp waar het gevecht uit bestaat. De Nederlandse politie is in dit opzicht niet behulpzaam, maar misschien is dat teveel gevraagd. Het is veel erger dat bijna iedereen die over dit incident rapporteert hun overdreven claims napraat."
"Een aantal dagen later, toen politie nog van alle lof over hun succes aan het genieten was, herrees het botnet. Gênant? Ja. Verrassend? Niet echt.
Waarom komt van Eeten daar na nu pas mee? Waarom stelde hij dit niet voordat het na een paar dagen bleek dat het botnet herrees.
Nadat er al kamer vragen zijn gesteld over de eerste actie hoop ik dat nu er wordt ingegrepen. Dit is scoren over de rug van burgers.
Media-aandacht helpt altijd. En dan kunnen we later wel relativeren of het allemaal zo goed of slecht is als in eerste instantie werd gesteld. Er zijn nu in ieder geval veel meer mensen die iets weten van botnets, die winst is binnen.
Nadat er al kamer vragen zijn gesteld over de eerste actie hoop ik dat nu er wordt ingegrepen. Dit is scoren over de rug van burgers.
En waar baseer jij je op met je "eindelijk het goede verhaal?" Blijkbaar heb je zoveel inzicht in hoe het is gegaan dat je onderdeel van de operatie bent geweest. Waarom heb je er dan aan meegewerkt? Zoaal genieten van principieel ben je niet blijkbaar. En dan scoor je over de rug van je werkgever.
En wat zou het dat dit verhaal eens breed wordt uitgemeten? Het zwengelt de discussie over de aanpak van cybercrime aan en dat is hard nodig. Als je vindt dat de politie, GovCert, Fox-IT een stelletje prutsers zijn, dan is die discussie des te zinvoller, want dit zijn wel de enige organisaties die op dit moment in Nederland actief zijn op de bestrijding van Cybercrime. Volgens jou kunnen ze wel een kwaliteitsinjectie gebruiken en wellicht lukt dat met deze publiciteit. Wellicht solliciteren, dan kunnen we allen genieten van je kennis en wijsheid.
Oh, en voordat je je iets in je hoofd haalt, dit is een cynische posting.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.