Het Bredolab-netwerk is nooit opgerold. Ook al werden op maandag 25 oktober de servers uitgeschakeld waarop de commando- en controlesoftware van dit botnet draaide, de bots in het netwerk bleven gewoon in de lucht. Na een aantal dagen slaagden onbekende criminelen er dan ook in deze met malware geïnfecteerde computers opnieuw aan te sturen, vanaf een andere plaats. Dat zegt Michel van Eeten, hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft.
De Nederlandse politie claimt ten onrechte het Bredolab-botnet op maandag 25 oktober 2010 volledig opgerold te hebben. Bovendien overdrijft de KLPD het aantal machines dat door het botnet is geïnfecteerd met een factor tien. Met dat laatste bewijst de politie de strijd tegen botnets geen goede dienst. Het kan internet service providers namelijk ontmoedigen om bots uit hun netwerk te verwijderen.
Dat schrijft professor Michel van Eeten in een blog op de website van het internet governance project, een samenwerkingsverband van onderzoekers die het beheer en bestuur van internet onderzoeken. Hij onderzoekt in opdracht van het Ministerie van Economische Zaken de botnetbesmetting per provider.
Nieuwe commando- en controleservers
De Nederlandse politie 'heeft niet werkelijk het botnet uitgeschakeld, maar slechts een specifiek onderdeel ervan: de commando- en controleservers', zo schrijft Van Eeten.
'Alle geïnfecteerde machines waren nog steeds in de lucht. Zonder de C&C server kregen ze niet langer instructies. De aanname is dat dit hen onschadelijk maakt.'
'Een onterechte aanname, zoals snel bleek', vervolgt van Eeten. 'Binnen een aantal dagen vonden andere criminelen een manier om nieuwe C&C servers in te richten en opnieuw contact te zoeken met de bot-populatie.'
Volgens Van Eeten is deze gang van zaken gebruikelijk bij de bestrijding van botnets: 'Het is net als het arresteren van een drugsdealer. Als je de infrastructuur niet succesvol aanpakt, wordt hij gewoon vervangen door een nieuwe.'
Aantal bots in Bredolab-netwerk is overschat
Daarnaast pocht de politie over het aantal geïnfecteerde machines, aldus van Eeten. Er zouden op een bepaald moment 30 miljoen geïnfecteerde machines zijn geweest, zo zegt de KLPD. Volgens Van Eeten gaat het echter waarschijnlijk om zo'n 3 miljoen bots. De reden dat de politie het aantal overschat, is volgens hem dat er geen rekening is gehouden met het meermaals opduiken van dezelfde machine, vanaf een ander IP-adres.
Daarmee bewijst de politie de strijd tegen botnets geen goede dienst, aldus Van Eeten. Natuurlijk, het is 'begrijpelijk' dat de Nederlandse politie haar succes 'opblaast'. 'Snelle en zichtbare overwinningen trekken de aandacht van politici en daarmee budget.'
Volgens de professor licht de 'werkelijke uitdaging' echter in het 'opschonen van miljoenen bots' door internet service providers in samenspraak met hun klanten. En die zullen minder geneigd zijn hun medewerking te verlenen wanneer hun inspanningen ten onrechte al bij voorbaat slechts 'miniem' effect kunnen hebben.
Bredolab-netwerk
Op maandag 25 oktober werden de commando- en controleservers van het Bredolab-netwerk, in het datacentrum van hosting partij LeaseWeb uitgeschakeld. Deze actie was het resultaat van twee maanden onderzoek door KLPD, in samenwerking met Govcert en beveiligingsbedrijf Fox IT.
“…het ‘opschonen van miljoenen bots’ door toegangsproviders”
Wat wordt hier bedoeld met een toegangsprovider?
Het schoonmaken kan maar op één plaats: thuis op de besmette PC zelf. Niet door een provider, lijkt mij. Een provider mag niet op de PC van de klant zitten rommelen.
Geef zo’n klant Ubuntu op een USB-stickje voor een tientje en blokkeer de besmette Windows-PC zolang die besmet is – dat kan misschien wel. Al lijkt me dit zeker geen gemakkelijke opgaven voor een provider – die moet dan plots malware-expert worden.
Een toekomstige oplossing zal waarschijnlijk zijn: je hebt alleen nog maar een thin-client staan. Het OS en daarmee ook de security-software draait gewoon extern op een serverpark.
Vreemd eigenlijk dat dat nog nauwelijks in de markt ligt. De juiste visionairs kunnen hier miljoenen of miljarden mee verdienen als ze een populair landelijk systeem in zulks kunnen opzetten.
@mm : Dat is een toekomstbeeld, maar niet voor alle gebruikers en leveranciers het juiste. Er is nog altijd zoiets als vertrouwen. Dat moet je verdienen, maar zal zeker ook weleens geschonden worden.
Bovendien moet de oplossing generiek en individueel van toepassing zijn. Dat is bijna onmogelijk…
Last but not least: ook een thin-client kan gefopt worden. Bijvoorbeeld : http://www.secpoint.com/Wyse-Thin-Client-Device-Susceptible-to-Exploit-Vulnerabilities.html