Hoe kijken de politie en de hostingbranche naar malafide resellers die de online-netwerken van Nederlandse hosters misbruiken voor criminele activiteiten? Welke mogelijkheden zijn er om dat misbruik aan te pakken en hoe is de vervolging van die cybercriminelen te verbeteren? Computable sprak met Wido Potters, voorzitter van het Nederlands Security Meldpunt, en Nico van Wijk van het Team High Tech Crime (THTC) van de Landelijke Eenheid van de politie.
Potters deelt via het meldpunt allerlei informatie over kwetsbaarheden en zwakke configuraties. Daarnaast is hij secretaris bij stichting AbuseIO. Die ontwikkelde een opensourcetool die informatie over misbruik van netwerken verwerkt. Gebruikers kunnen die misbruikmeldingen ontvangen, verwerken en correleren. Potters spant zich in voor het meldpunt en de stichting naast zijn rol als manager verkoop en support bij het Edese datacenter BIT, dat onder meer managed hosting en clouddiensten levert.
Nico van Wijk, van het Team High Tech Crime (THTC) van de Landelijke Eenheid van de politie, is verantwoordelijk voor recherche en beleid en al jaren bezig met de opsporing van cybercriminelen en zogenoemde bullet proof resellers. Dat zijn malafide aanbieders van internetdiensten die criminelen beloven dat ze gebruik kunnen maken van Nederlandse, technisch hoogstaande netwerkeninfrastructuur, en die er alles aan doen om hen uit de handen van politie en justitie te houden.
Potters: ‘Het overgrote deel van de partijen in de Nederlandse cloud- en hostingsector doet hun best om hun netwerken te beschermen tegen malafide resellers. Daarnaast is er een groot deel dat niet goed doorheeft dat hun netwerken worden misbruikt door criminelen.’ Er is volgens hem maar een klein deel dat bewust criminaliteit faciliteert.
AbuseIO
Potters deelt met het Nederlandse Security Meldpunt steeds vaker informatie over die criminele activiteiten. Via de tool van de stichting AbuseIO kunnen netwerkeigenaren die meldingen geautomatiseerd verwerken. Het meldpunt stuurt dus meldingen uit over misbruik (abuse) en kwetsbaarheden die bij het meldpunt bekend zijn. Vaak heeft het DIVD (Dutch Institute for Vulnerability Disclosure) onderzoek gedaan en een lijst met kwetsbare en of getroffen ip-adressen beschikbaar gesteld. In het eerste jaar van het meldpunt zijn volgens Potters 55 meldingen uitgestuurd naar aangesloten bedrijven en organisaties. Ook is via de zogenoemde ongevraagd route informatie gedeeld met netwerkeigenaren. Potters: ‘Per keer zijn er honderden en soms duizenden notificaties verstuurd.’ De software die AbuseIO ter beschikking stelt wordt naar schatting door zo’n drie- a vierhonderd netwerken wereldwijd gebruikt. In Nederland gaat het om om een kleine honderd netwerken, schat hij.
Klanten mogen wat hem betreft kritischer zijn en navragen of hosters de Gedragscode Abusebestrijding naleven. Daarin staan richtlijnen om misbruik van de digitale infrastructuur te voorkomen. Er komt binnen enkele weken een nieuwe versie uit. Daarin staat bijvoorbeeld dat eerste betalingen aan digitale infrastructuurleveranciers (registrars, hosters, cloudproviders, access providers, datacenters) niet via een anoniem betalingsmiddel (in de regel cryptocurrency) mogelijk moeten zijn.
Als overheden alleen nog inkopen bij aanbieders die aan de anti-abuse-richtlijnen voldoen, zal dat bijdragen aan het verminderen van malafide resellers, verwacht Potters. Maar er moeten nog heel wat stappen worden gezet. ‘Er zijn bedrijven die bewust criminaliteit faciliteren of onbekwame hosters die om allerlei redenen niet handhaven. Er is een gebrek aan kennis. Bovendien worden er maar weinig abuse-meldingen uitgestuurd.’ Hij vervolgt: ‘Vaak moet je zelf contact opnemen met partijen die abuse opsporen. Hosters hebben zich niet geabonneerd op feedbackloops, ze ontvangen geen rechtstreekse meldingen en dan kan het lijken of er geen probleem in het netwerk zit terwijl dat wel het geval is.’ Hij hoopt dat hosters meer moeite steken in de bestrijding van malafide praktijken, stevigere maatregelen nemen en zich meer verdiepen.
Taboe
Volgens Potters moet ook het taboe op misbruik door malafide resellers verdwijnen. Veel hosters zijn bang om naar buiten te treden als blijkt dat hun netwerk is misbruikt door criminelen. Potters: ‘Er is geen cloudprovider die met droge ogen kan beweren dat hij nooit incidenten met misbruik van zijn infrastructuur door criminelen heeft gehad.’ Maar partijen houden dat uit schaamte vaak stil, terwijl openheid de aanpak van het veelkoppig monster juist kan bevorderen.
In Nederland komen de meldingen over dergelijk misbruik vooral bij de overheid vandaan, zoals DTC, NCSC, CSIRT-DSP. De overheid ontvangt namelijk in enkele gevallen informatie over misconfiguraties en kwetsbaarheden (zoals bijvoorbeeld in Microsoft Exchange). ‘Er zijn ook initiatieven om proactief en ongevraagd directe meldingen te versturen. Bijvoorbeeld door het Nederlands Security Meldpunt die door onderzoek van de DIVD gevoed wordt’, vertelt Potters.
Kamerbrief reseller-actie
Eind maart reageerde de minister waarin minister Yeşilgöz van Justitie en Veiligheid in een Kamerbrief op een politieactie waarbij hosters eind 2022 met een namenlijst werden gewaarschuwd voor malafide resellers. Potters ‘De insteek van die actie was vooral om bovenliggende partijen, met name hostingproviders, te vragen om kritisch te kijken naar hun klantenbestand. Met het delen van openbaar toegankelijke informatie wilden wij hosters waarschuwen voor resellers die vaak schaamteloos reclame maken voor het faciliteren van cybercrime.’ Een aantal bedrijven heeft naar aanleiding van de actie afscheid genomen van die resellers.’ Potters kan geen concrete namen en cijfers noemen omdat het om bedrijfsgevoelige informatie gaat.
Ook volgens Nico van Wijk van het Team High Tech Crime (THTC) van de Landelijke Eenheid van de politie is over het algemeen positief gereageerd op de brief. ‘Men begrijpt waarom wij bedrijven wijzen op cybercrime-facilitators die hun diensten online openlijk aanbieden.’ Zo nu en dan kreeg hij wel de vraag waarom de politie geen strafrechtelijk onderzoek doet naar bulletproof hosting. ‘Maar dat gebeurt al’, zegt Van Wijk. Hij verwijst naar een rechtszaak waarin een telecommunicatiedienstverlener wordt verdacht van medeplichtigheid aan verboden handelingen van zijn klanten.
Van Wijk vervolgt: ‘Een ander punt van kritiek gaat over het delen van de lijst met meerdere partijen. Waarom zouden we hoster A niet vertellen dat kwaadwillende resellers B en C gebruik maken van zijn diensten? Het antwoord is dat we geregeld niet al te veel informatie hebben van dit soort resellers, vooral omdat zij graag onbekend willen blijven buiten de cybercriminele community’s.’ Het zijn meestal geen reguliere bedrijven met bijvoorbeeld een kantoor of een website, benadrukt hij. De politie is dit jaar wel verder gekomen met het lokaliseren van deze partijen. ‘Wij verwachten dat we volgende jaar nog directer kunnen notificeren. Tot die tijd zien we gelukkig ook al resultaat van het delen van de lijst met namen.’
Samenwerken
De verantwoordelijke voor recherche en beleid bij het Team High Tech Crime is al jaren bezig met zaken rondom cybercriminelen die de Nederlandse internetinfrastructuur misbruiken voor hun activiteiten. ‘Een simpele oplossing voor de hoge mate van abuse in de Nederlandse netwerken bestaat niet.’ Maar Van Wijk ziet wel kansen om stap voor stap het probleem aan te pakken.
Publiek-private samenwerking is volgens hem essentieel. ‘Met het Openbaar Ministerie en het Financial Advanced Cyber Team van de FIOD hebben wij begin december vorig jaar een serie adviezen ingediend bij de Rijksoverheid, met verschillende opties om de netwerken op te schonen. Meerdere private partners hebben input geleverd aan deze memo.’
Er wordt volgens hem momenteel heel constructief samengewerkt tussen drie ministeries om die ideeën uit te werken. ‘Vanuit de politie, en het OM, kiezen we doelbewust voor de brede bestrijding van schadelijke hosting. Het strafrecht blijft daarbij één van de middelen om de cyberveiligheid te verbeteren, en ook naar de ruimte binnen dit rechtsgebied als het gaat om dit soort hosting wordt momenteel scherp gekeken. De jurisprudentie van deze zaak moet daarbij helpen.
‘Facilitators van criminaliteit’
Van Wijk stelt dat de politie strafrechtelijk zeker niet krachteloos is, maar de wetgeving mag wat hem betreft wel meer in lijn worden gebracht met de schaduwkant van de internetsector. ‘Dit soort bedrijven zijn niet simpelweg een technisch doorgeefluik voor hun klanten, maar facilitators van criminaliteit.’
Hij vervolgt: ‘Momenteel werken wij ook samen met Justitie en Veiligheid en Economische Zaken aan de implementatie van de Digital Services Act (DSA) en de Wet beveiliging netwerk- en informatiesystemen (NIS2), beide zijn bedoeld om meer verantwoordelijkheid voor de netwerken neer te leggen bij de bedrijven die hier over gaan.’ Hij ziet dat tot een aantal jaar geleden de problemen rondom bullet proof hosters en cybercriminelen die de infrastructuur misbruiken, slecht op de kaart stonden. Hostingproviders hadden juridisch gezien bijna geen verantwoordelijkheid voor hun klanten. ‘Dat is gaan schuiven.’
Hij ziet dat de pakkans van cybercriminelen toeneemt. Maar de winst is wat hem betreft aan de voorkant te behalen. ‘Ken je klant, is ons advies’, aldus Van Wijk. ‘Het verbieden van fora waar de vraag en het aanbod binnen een cybercrimineel ecosysteem bijvoorbeeld openlijk bij elkaar komen, lijkt misschien nuttig, maar het internet is groot en dynamisch. Het moet wel te handhaven zijn.’ Hij benadrukt dat het raken aan de vrijheid van informatiedeling vooral een politiek vraagstuk is. ‘De huidige middelen zorgen voor succesvol opsporingsonderzoek, we staan dus niet met lege handen, maar het kan natuurlijk altijd beter.’