Je kunt een botnet niet uitschakelen door de commando- en controleservers te vernietigen. Dat zegt beveiligingsadviseur Rik Ferguson van antivirusleverancier Trend Micro.
Is BredoLab inmiddels volledig opgerold?
Op dezelfde dag dat bekend werd dat de Nederlandse politie 143 commando- en controleservers van botnetwerk BredoLab had uitgeschakeld bij hostingprovider LeaseWeb, hebben we in ons interne monitoringsysteem gekeken. We zagen dat er op zijn minst nog één actieve server was die zich niet in Nederland bevond. En twee dagen later was er nog een ander beveiligingsbedrijf dat nog eens twee andere actieve servers zag, ook niet in Nederland. Je kunt het vergelijken met Hercules die de de veelkoppige slang Hydra bestrijdt: je kunt een botnet niet uitschakelen door de koppen er af te slaan. Sla er één hoofd af en er zullen twee nieuwe groeien. Dat is het probleem met botnets. Je moet dus een andere manier vinden.
Hoe moet je botnets dan wel bestrijden?
We moeten de bouwblokken creëren die het mogelijk maken voor overheden en rechtshandhavers om nauwer samen te werken bij vervolging. Er zijn drie bouwblokken: handhaving, een proactieve opstelling van internet service providers en internationale harmonisering van wetgeving. Wat betreft dat laatste: in het geval van BredoLab, is er een Armeniër in zijn eigen land aangehouden, maar blijkt dat land niet bereid te zijn hem uit te leveren. Daarvoor is internationale harmonisatie van wetgeving nodig, nu zien we nog te vaak dat sommige handelingen wel illegaal zijn in het ene maar niet in het andere land. Criminelen zullen dat gebied opsporen dat hun doelen het beste dient. Daarom is harmoniseren belangrijk. Als beveiligingsindustie moeten we onderzoek blijven doen naar botnets en de resultaten daarvan doorspelen aan rechtshandhavende instituten en isp's, zodat ze achter c en c aan kunnen gaan.
Daarnaast moeten service providers in het algemeen hun klanten pro-actiever vertellen dat ze geïnfecteerd zijn en ze voorzien van schoonmaaktools. Het in quarantaine plaatsen van geïnfecteerde machines is naar mijn mening een stap te ver, omdat je mensen dan misschien ook afsluit van de schoonmaakspullen die ze nodig hebben. En je loopt altijd het risico dat je iemand in quarantaine plaatst die niet geïnfecteerd is, wat weer het gevaar van claims oplevert.
Is dat niet duur voor internet service providers? De marges op klanten zijn laag. Eén telefoontje van een klant zorgt ervoor dat de winstmarge voor die klant voor dat jaar verdwenen is.
Daarom zijn geautomatiseerde tools en processen belangrijk. Er zijn tools en technologieën van allerlei verschillende leveranciers waarmee providers geautomatiseerd hun verkeer kunnen inspecteren. Zodat ze bijvoorbeeld kunnen zeggen: ik weet dat deze ip-adressen communiceren met een bekende commando- en controleserver. Vervolgens kunnen ze een geautomatiseerd proces bouwen, die deze ip-adressen linkt aan contactgevens in mijn databank, en automatisch een mail of een sms verstuurt, of wat dan ook, om de klant op de hoogte te stellen dat er iets mis is. Als je die mails aan je klanten correct opstelt, kan dat helpen voorkomen dat ze massaal gaan bellen. Bijvoorbeeld: we denken dat je geïnfecteerd bent, om die en die reden. Hier zijn wat links naar gratis tools online die je helpen je pc op te schonen. Als je daarna nog problemen hebt, bel dan de beveiliingsleverancier van je keuze. Dus je kunt een groot deel van dat proces automatiseren. En in veel gevallen kan een internet service provider deze informatievoorziening aanbieden als een extra; we laten het je weten wanneer er iets mis is. We laten je niet geïnfecteerd.
Hoe kan het dat er 143 servers bij één service provider zijn ontdekt?
Ik snap dat nog steeds niet, dat ze al hun eieren in één mandje gelegd hebben, ook nog eens in een land dat zeer sterke cybercrime wetgeving heeft. LeaseWeb is geen service provider die bekend staat als 'crime friendly'. En er zijn absoluut service providers die wat ze noemen 'bullet free' hosting aanbieden, maar dat geldt niet voor deze provider. Ze hebben een goede infrastructuur en het is een grote provider, misschien speelde dat mee. Maar Nederland is namelijk één van de weinige landen die de conventie over cybercrime heeft geratificeerd. Dat soort landen zou je willen mijden als cybercrimineel. Dus dat wijst op een weinig goede planning. Normaal zijn cybercriminelen juist goed in verzetsplannen om neerhaal-pogingen te weerstaan. En BredoLab was een zeer succesvol botnet, het was een softwaredistributieplatform voor criminelen: klanten konden bijvoorbeeld voor een uur toegang kopen om hun software te installeren op de bots in het netwerk.
Gaan er in de toekomst nog nieuwe commando- en controleservers voor BredoLab opduiken?
Dat is het probleem met het onthoofden van botnets: je haalt een commando- en controlecentrum weg, maar alle eraan gerelateerde bots blijven geïnfecteerd. De Nederlanders die het botnet bestreden hebben natuurlijk geprobeerd ertoe bij te dragen dat die geïnfecteerde machines werden opgeschoond. Technisch gezien kun je, zodra je toegang hebt tot de commando- en controleservers, proberen de botbesturingssysteem zichzelf te laten vernietigen. Veel bots hebben die vaardigheid ingebouwd. Het probleem is alleen dat het juridisch niet is toegestaan om je zonder toestemming toegang te verschaffen tot iemands computers of daar aanpassingen te doen. En het lijkt me ook geen goed idee om die wet te veranderen. Het is een goede wet. Het is moeilijk om de inhoud ervan anders te formuleren, zodanig dat je de goeden wel toegang geeft, en de kwaden niet.
