Op maandag 26 oktober werd er bij hosting provider LeaseWeb uit Haarlem het commando- en controlecenter van het Bredolab-netwerk opgerold. Via dat botnetwerk werden virus- en spamaanvallen uitgevoerd, onder meer om bankgegevens van internetters te bemachtigen. Een interview met manager ict-beveiliging Alex de Joode van deze hosting provider.
Wanneer ontdekte u het Bredolab-netwerk?
Midden augustus kregen we een tip van een organisatie die deelneemt aan ons community outreach project. Binnen dat project verstrekken we gratis servercapaciteit en bandbreedte aan organisaties die op vrijwillige basis de ip-adressen achterhalen van computers waarop commando- en controlecenters draaien van botnets. We hebben dat project begin 2010 gestart en vlak voor de zomer zijn de eerste partners voor ons aan de slag gegaan, waaronder ZeuS Tracker en HOSTexploit. We hebben nu ongeveer acht á negen participanten binnen dat project.
Houdt u zelf niet het verkeer binnen uw datacentrum in de gaten?
Nee, dat is technisch onmogelijk. Door ons netwerk stroomt 750 Gbps tijdens piekmomenten. Apparaten voor pakketinspectie kunnen maximaal 10 Gbps controleren. Omdat we al onze infrastructuur dubbel hebben uitgevoerd, betekent dat dat we 156 van die apparaten zouden moeten aanschaffen. Dat gaat niet, daar zijn ze veel te duur voor. Het hoeft ook niet, volgens Europese richtlijnen zijn hosters niet verantwoordelijk voor het verkeer dat ze hosten, tot het moment dat ze worden geattendeerd op onrechtmatige handelingen die vanaf hun netwerk worden verricht. Daar komt nog een juridisch argument bij: als wij zouden beloven al het verkeer te controleren, zijn wij aansprakelijk op het moment dat er iets mis gaat.
Houdt u ook niet in de gaten wie er bij u klant wil worden?
Nee. Onze orderverwerking is volledig geautomatiseerd. Iedereen die een PayPal-rekening heeft met voldoende saldo, kan een server- en datapakket bij ons afnemen.
Is dat niet het recept voor het aantrekken van ongure klanten?
Nee. Het aantal abuse-klachten dat we krijgen is miniem, als je het vergelijkt met toegangsproviders. Ongeveer één keer per maand krijgen we een melding van een commando- en controlecenter. We hosten zo'n tweemiljoen websites. Als je dat vergelijkt met een stad met twee miljoen inwoners, waar ook altijd burgers wonen die het minder nauw nemen met de regels, dan valt het erg mee.
In januari 2010 kwam LeaseWeb ook al in het nieuws omdat er een botnet commando- en controlecenter bij u draaide.
Ja, maar toen ging het om één server van een hele verzameling. De rest stond bij andere hostingpartijen. In het geval van het Bredolab-netwerk stonden alle commando- en controleservers bij ons.
Het ministerie van Economische Zaken heeft de TU Delft gevraagd de botnetbesmetting per provider te meten. In reactie daarop hebben veertien Nederlandse internetproviders besloten om samen te gaan werken in de strijd tegen botnets. Werkt u met hen samen?
Nee, wij zijn niet door hen uitgenodigd. En dat initiatief van het ministerie ken ik niet, waarschijnlijk omdat het puur gericht is op internetproviders. De overheid vergeet hosting providers altijd. In dit geval begrijpelijk, want de geïnfecteerde machines staan altijd bij de toegangsproviders. Dat zijn de machines die verantwoordelijk zijn voor het doen van rare dingen zoals spammen en hacken. Bij de hosting partijen bevinden zich enkel de commando- en controlecenters. Die sturen de botjes aan, maar veroorzaken geen directe overlast. En bij meldingen halen we ze altijd binnen 24 uur offline. De botjes zijn dan weeskindertjes geworden en kunnen geen kwaad meer doen.
Dat was niet het geval bij het commando- en controlecenter van het Bredolab-netwerk, dat op maandag 26 oktober ontmanteld is.
Nee. Zoals gezegd, kregen we op een middag in het midden van augustus een tip van een organisatie die deelneemt aan ons community outreach project. De volgende dag deed de KLPD dezelfde melding. Zij verzochten ons echter om het commando- en controlecenter niet offline te halen, omdat ze bezig waren met een onderzoek. LeaseWeb heeft aan dat verzoek voldaan, nadat we ons ervan verzekerd hadden dat we achteraf niet aansprakelijk zouden worden gesteld voor de gevolgen. De KLPD heeft twee maanden lang onderzoek gedaan om de infrastructuur achter het botnet in kaart te brengen en te ontdekken welke persoon de aanstuurder ervan was. Nadat er een verdachte was geïdentificeerd, hoopte de KLPD hem te arresteren tijdens een bezoek dat hij in het weekend van 23 en 24 oktober zou brengen aan Amsterdam. Het ging om een Armeniër, die op een dance event dj zou zijn. Hij is uiteindelijk niet naar Amsterdam gekomen, maar vervolgens is hij in de nacht van maandag 25 op dinsdag 26 oktober gearresteerd op het vliegveld van Jerevan (de hoofdstad van Armenië, red). Naast de ontmanteling van het botnet en de arrestatie van de verdachte zijn deze week ook 700.000 eigenaren de naar schatting 30 miljoen geïnfecteerde machines door het KLPD geïnformeerd. Zeventig van hen hebben de moeite genomen om online aangifte te doen. Deze procesverbalen maken het voor het Openbaar Ministerie mogelijk om vervolging in gang te zetten. Het OM heeft inmiddels om uitlevering gevraagd van de verdachte.
Alex de Joode
Alex de Joode is manager ict-beveiliging bij hosting provider Leaseweb. Daarnaast verzorgt hij ook de abuse-afhandeling van deze hosting provider, bijvoorbeeld wanneer een auteur meldt dat een klant van LeaseWeb inbreuk maakt op zijn auteursrecht. Bovendien regelt hij de juridische contacten met onder meer het Openbaar Ministerie, politie en consumentenorganisaties. Hij was medeoprichter van het Meldpunt Kinderporno en van INHOPE (inhope.org). Hij studeerde rechten in Universiteit van Amsterdam.
Volgens de LeaseWeb-site is het 750Gbps, en niet 750GBps? Scheelt toch een factor 8 :).
(Het verschil tussen 780 en 750 even daargelaten.)
Die 30 miljoen zou trouwens een te hoog ingeschat getal zijn. Eén machine kan meerdere keren (meerdere IP-adressen) in de tabel van 30 miljoen IP-adressen genereren. Ik heb getallen van 1,5 miljoen gehoord.
Dat zit ook inderdaad veel dichterbij de 700.000 geïnformeerden. Dat slechts 0,01% van de mensen aangifte wil doen, geeft al aan waarom botnets nog steeds mogelijk zijn. Het leeft gewoon totaal niet onder de bevolking – zolang men maar kan internetten, is mee tevree.