Crimineel computernetwerk ontmanteld, mag dat?

infected-pc-waarschuwingsdienst.pngEen speciaal team van de nationale recherche heeft maandag een crimineel computernetwerk platgelegd, meldde nu.nl. Na klachten over het Bredolab-botnet vorig jaar werd een onderzoek ingesteld, waarbij maar liefst 143 command-and-controlservers aangetroffen werden. Deze werden maandag offline gehaald door provider Leaseweb. Het brein achter het botnet zou ook zijn gearresteerd.

Bij Tweakers laat men weten dat men de komende tijd gebruikers wil gaan waarschuwen dat hun pc geïnfecteerd is. En daar is men al mee bezig: klik maar op het plaatje om te zien wat je dan in beeld krijgt (dank aan Com-connect). Je krijgt dus als slachtoffer van dit botnet een redirect naar de server van de nationale recherche, en bent daardoor min of meer verplicht om je PC te gaan opschonen.

Ik vraag me af of dit kan. Het lijkt me niet echt de bedoeling dat de politie bij mensen gaat inbreken immers. Tegelijkertijd lijkt het wel netjes dat de politie je waarschuwt als er iets mis is met je beveiliging en je daardoor slachtoffer van een misdadiger bent geworden. Vroegah kreeg je ook wel eens briefjes door de deur “Tijdens uw afwezigheid stond het keukenraam open” of “Er liggen waardevolle zaken in deze auto, doe dat nou niet”. Zou er daarmee een parallel te trekken zijn?

We kennen in het recht de figuur ‘zaakwaarneming‘. Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen. (En de rekening is dan voor je buren.) Dat is dan geen inbraak maar een gerechtvaardigd binnentreden op grond van zaakwaarneming. Het lijkt me dat als dat mag, je ook virtueel naar binnen mag om te zeggen “hoi u heeft een botnet, doe er wat aan”.

Wie trouwens kan uitleggen waarom dit botnet a) 143 servers had en b) al haar servers bij 1 resellertje had staan, mag het zeggen.

Arnoud

51 reacties

  1. Ik vraag me af of we niet nog verder kunnen/moeten gaan, namelijk uw pc is besmet met een virus, hier is 100 euro boete. Ik vind het daar wel tijd voor worden. Wat ook nog een oplossing zou kunnen zijn is op Europees niveau besluiten dat er geen consumentenpc’s zonder virusscanner mogen worden verkocht. Of dat je bij thuisinstallatie een scanner – moet – installeren.

  2. Doet me denken aan die programmas die je proberen een virusscanner op te dringen met “your computer is infected, please install this free cure” om vervolgens je computer vol popups te zien die je allemaal dwingen de upgraded version van de virusscanner te kopen.

    Bovendien lijkt het me dat veel van dat soort programmas dit exacte schermpje gaan proberen na te bootsen. Net als de officieel uitziende emails die je van je bank krijgt en vragen naar je paswoord en pincode.

  3. Ziet deze ‘waarschuwing’ er niet wat amateuristisch uit? Ondanks dat ik inhoudelijk de tekst wel begrijp, zou ik er eigenlijk meteen vanuit gaat dat dit van een malware bedrijf afkomstig is dat mij een virusscanner wil verkopen.

    Los van de authenticiteit van de melding: hij is veel te complex! Mijn moeder snapt hier toch niets van? Enkele termen die een eenvoudige gebruiker al niets zeggen: Malware, bot newtwork, Bredolab, trojan.

    Wat gebeurt er als een simpele gebruiker deze melding ziet? Wegklikken. Andere mogelijkheid is dat ze een vriendje met IT kennis vragen. Wat vragen ze dan? “Ik kreeg een popup die zei dat ik een virus had en het moest verwijderen door naar een site te gaan.” Als iemand mij deze vraag stelt dan zou ik er in eerste instantie op antwoorden om het gewoon te negeren en zeggen dat het slechts een popup is die je een beveiligingspakket wil aansmeren…

    Zeker de politie moet toch de mogelijkheid hebben om dit wat professioneler te brengen?

    @Lepelaar hierboven: Jij was duidelijk iets sneller met typen dan ik, volgens mij bedoelen we hetzelfde 🙂

  4. Ik vraag me af hoe ze het doen — redirecten ze iedere http request naar de politie (dus de PC, althans de internetverbinding, verder praktisch onbruikbaar makend)? Of redirecten ze laten we zeggen een op de 10 (je kan altijd nog reloaden om nu even te telebankieren als dat moet)? Of doen ze een push die eens in de zoveel tijd een nieuw venster opent met deze waarschuwing erin?

    Dit lijkt me in een oplopende volgorde van acceptabel — de laatste is veel vergelijkbaarder met dat briefje in de brievenbus, terwijl de eerst naar analogie eerder is dat ze je hele keukenraam (en alle andere ramen) afplakken met een hele grote brief over hoe onveilig het is om een raam open te laten staan.

    Nog even terugkomend op een recente blog: Zou de politie dit briefje niet tweetalig aan moeten bieden? Weliswaar zal wellicht maar 1 procent van de ontvangers Nederlands spreken, maar die mensen zouden toch mogen verwachten van onze eigen politie dat ze in hun eigen taal worden toegesproken eigenlijk. Anders kunnen we in de toeristenbuurt van Amsterdam ook wel coppers gaan inzetten die geen Nederlands spreken…

    Bart, kun je een idee geven van hoe het professioneler kan? Ik ben het met je eens dat dit dubieus er uit komt, maar het lijkt me verrekte moeilijk om iets te doen dat niet ook bedacht kan worden door de malware-“antivirus”-verkopers.

  5. Volgens mij wordt gekeken naar het uitgaande netwerkverkeer om te bepalen of een PC is besmet met mallware. Volgens mij is dit net zo min toegestaan, het is immers het analyseren van mijn communicatie of mijn pc. Ook al is het doel heel nobel, lijkt het mij een onwenselijke zaak.

    Maken ze gebruik van blacklists omdat jouw PC een spamrun heeft veroorzaakt ligt de zaak weer anders.

    Dus of het mag/kan hangt af van de gebruikte techniek. Controleren ze actief verbindingen of PC zeg ik nee. Maken ze gebruik van blacklists dan is het Ja

  6. 143 want dat staat voor I love You en dat is ook een bekend virus geweest? Of omdat het een getal is dat veel samenhangt met priemgetallen? Hoewel ik daar het nut niet van zou kunnen bedenken, maar volgens mij zijn priemdingen vaak nuttig in codes. (of beide)

    En bij slechts 1 reseller omdat dat de kans verkleint dat er iemand de boel verklikt?

    Win ik iets, behalve het recht om het te zeggen/raden? :p

  7. @ Jasper Professioneler in de zin van iets wat op briefpapier lijkt, geen vage onduidelijke logo’s en termen. Ik snap dat het dienstdoende securitybedrijf zijn logo erbij wil hebben, maar niemand kent dat dus laat maar weg. Ook is de term GOVCERT misschien niet zo bekend bij mensen die niet in NL en de IT beveiliging werken (en bekt hij niet lekker).

    Daarbij mag het meer simpele taal zijn die een eenvoudige gebruiker kan begrijpen. Eventueel met een link naar meer informatie. Plus: telefoonnummer! Dat is iets wat zorgt dat je als overheidsorgaan te onderscheiden bent van de russische spammer die jou een antiviruspakket wil verkopen.

    Korte krachtige boodschap: “u heeft een virus en daar hebben anderen op internet last van. U bent zelf aansprakelijk voor een veilige computer, leer hier hoe u die onderhoudt of vraag een kennis met verstand van zaken.” Maar dan iets formeler 😉

  8. Doet me denken aan die programmas die je proberen een virusscanner op te dringen met ???your computer is infected, please install this free cure??? om vervolgens je computer vol popups te zien die je allemaal dwingen de upgraded version van de virusscanner te kopen. Bovendien lijkt het me dat veel van dat soort programmas dit exacte schermpje gaan proberen na te bootsen. Net als de officieel uitziende emails die je van je bank krijgt en vragen naar je paswoord en pincode.

    Van je “bank” bedoel je denk ik, want van mijn echte bank heb ik ze nog nooit gekregen. Maar je hebt wel een punt natuurlijk: hoe weet een argeloze computergebruiker die zo’n pagina voor zijn neus krijgt dat het echt is en niet een of ander Rogue AV programma, zoals die nep-virusscanners-die-zelf-een-virus-zijn heten. De gebruikte domeinnamen (nationale-recherche.nl en waarschuwingsdientst.nl) zouden mij niet meteen zekerheid geven dat het inderdaad om echte sites gaat.

    Dat 143 priem is is toeval. Het is handig voor de botnetbeheerder om een hoop C&C servers te hebben voor het geval er eentje uitligt. Waarom ze allemaal bij hetzelfde bedrijf gehost snap ik dan weer niet; minieme kans op verklikken lijkt me geen reden want Leaseweb heeft volgens de nieuwsberichten gewoon netjes met de politie meegewerkt.

    @Arnoud: lees ik die paragraaf over zaakwaarneming nu goed dat je denk dat het dus inderdaad mag?

    (Vraag me wel af: breken ze nu in op die computers, of redirecten ze gewoon al het internet-verkeer naar die politiepagina? In dat geval hoef je helemaal niet op de computer in te breken en heb je slechts medewerking van de provider nodig.)

  9. OK, dank. Dat andere gebeurt namelijk ook regelmatig en dat lijkt me — mits de provider het zelf doet en de politie niet in de firewall van de provider inbreekt — evidenter legaal.

    Blijft mijn vraag staan of je nu je eigen vraag beantwoordt: dat dit een geval van zaakwaarneming is en dat het dus mag.

  10. Ik begreep uit ander nieuws dat ze zo’n 30.000.000 zombies hadden in het netwerk dus dat is ruim 200.000 zombies per c&c server zeg dat een opdracht 10kb verkeer genereerd dan is dat zo’n 2Gb aan verkeer per server om een opdracht te versturen naar alle zombies.

    Dus denk dat ze het gewoon nodig hebben.

    Wat betreft b) single point of politie ingreep dus niet goed ontworpen.

    PS OT: Mag dat, buiten de landsgrenzen? Je ziet dat de kat bij de belgische buurman geen eten heeft?

  11. @9 Martijn

    (143 is geen priem, maar 13×11, welke weer priemgetallen zijn. Het was ook maar een gokje tezamen met iloveyou.)

    Als je op de link van “werd” klikt, kan je deze zin zien. Criminelen zouden bij een klant van LeaseWeb een aantal servers hebben gehuurd en van daaruit wereldwijd pc’s hebben besmet door de Bredolab-trojan te verspreiden.

    Hieruit maak ik op de de criminelen bij een tussenpersoon de servers hadden gehuurd, en die tussenpersoon ze weer van leaseweb had gehuurd. Vandaar dus het ‘verklikken’, door die tussenpersoon die ze blijkbaar wouden. Hoe minder tussenpersonen, hoe minder kans op verklikken. Maar nu breng je me aan het twijfelen of ik dit wel goed lees/opvat.

  12. Ah ja… 143 is geen priem. Maar toch, ik denk dat het irrelevant is. 🙂

    Ik weet niet of deze tussenpersonen in het ‘complot’ zitten. Lijken me eerder Leaseweb-klanten die gewoon wat minder vragen stellen.

  13. @14 Martijn

    Minder klanten -> minder mensen die mogelijk vragen stellen -> minder mensen die verklikken (-> minder mensen om te bedreigen / laten verdwijnen ?) Ik denk ook niet echt dat het ‘de’ reden is, maar weet zelf ook niks beters 😀

    Arnoud, mogen we gewoon even gokken tot jij het ons zegt of kan het gewoon allemaal puur toeval zijn?

  14. @Bram Heerink, reactie 1.

    Hoezeer ik het ook met je eens ben dat er te veel gebruikers zijn die niet goed weten wat ze doen met betrekking tot beveiliging van hun PC en / of hun internetverbinding vind ik jouw voorstellen een beetje merkwaardig. Zouden we niet juist de makers / verspreiders van malware moeten aanpakken? Is jouw voorstel niet een beetje zoiets als mensen verplichten een alarmsysteem op hun huis te nemen?

    @Mark Berck, reactie 6.

    Je schrijft:

    Volgens mij wordt gekeken naar het uitgaande netwerkverkeer om te bepalen of een PC is besmet met mallware. Volgens mij is dit net zo min toegestaan, het is immers het analyseren van mijn communicatie of mijn pc. Ook al is het doel heel nobel, lijkt het mij een onwenselijke zaak.

    Ik vind dat je daar een interessant punt naar voren brengt, mijn technische kennis reikt niet ver genoeg, maar de manier waarop ze er ?berhaupt achterkomen dat een PC / server of netwerk besmet is is een beetje raadselachtig en ik vraag me ook af op basis waarvan ze in zo’n situatie tot actie overgaan. Dit lijkt mij een beetje op een doorzoeking van alle woningen in een hele buurt om te zien of zich ergens inbrekers bevinden.

  15. @Martijn Lodewijk, reactie 17: Volgens mij is je fiets niet op slot zetten ook strafbaar maar dat weet ik niet zeker. En hoewel gevoelsmatig je achter daders moet aangaan is dit natuurlijk een zeer tijdrovend en inefficient proces. Mensen opsporen met besmette pc’s is veel efficienter en effectiever. Ik vind het op zich ook niet raar dat we eisen stellen aan apparatuur waarmee je online gaat.

    @Peter Staal, reactie 2: Ik zou ook in principe alleen verplichte virusscanner willen voor operating systemen die vaak doelwit zijn. En ja, daarmee bedoel ik Windows. Natuurlijk, het – kan – ook op de Mac, het – kan – ook op Linux maar het gebeurt niet.

  16. Het is maar wat je overlast noemt, als ik mijn fiets (bewust) niet op slot zet en hij wordt gestolen ben ik volgens mij de enige die er overlast van heeft en heb ik ‘only myself to blame’.

    Maar ja, APV’s zijn rare beestjes waar allerhande vreemde regeltjes in voor kunnen komen.

    Maar dom zou het dus zeker zijn, strafbaar lijkt het mij ook niet om je fiets niet op slot te zetten.

    Uiteraard is het gemakkelijker om een computer of netwerk te beveiligen, maar ik zie dat persoonlijk niet als een reden om het dan maar verplicht te stellen, dat zou net zoiets zijn als het verplicht stellen van autogordels. Hoewel ik er persoonlijk voorstander van ben dat ieder zijn verantwoordelijkheid neemt in dat soort zaken ben ik er tegenstander van dit soort dingen te willen afdwingen en dat zie ik vrij ruim.

  17. Die overlastconstructie is een beetje een achterdeur. Men wil als gemeente kunnen optreden tegen fietsendiefstal, en legt zo een stukje van het probleem bij de fietseigenaar. Omdat “uitlokken van diefstal” niet opgaat, gooit men het over de boeg van “je trekt junks en andere potenti?le overlastgevers aan door je fiets zo neer te zetten”. Net zoals een vuilniszak neerzetten buiten de ophaaltijden overlast geeft in de vorm van stank en vliegen.

  18. Ja, goed, daar zit wat in met die overlast, maar wellicht een beetje vergezocht inderdaad.

    Als ik mijn fiets keurig in een stalling zet bij een gemiddeld station bestaat er ook wel een kans dat er een junk mee vandoor gaat, je bent nu eenmaal verslaafd aan het stelen van fietsen of je bent het niet.

  19. Wie trouwens kan uitleggen waarom dit botnet a) 143 servers had en b) al haar servers bij 1 resellertje had staan, mag het zeggen. Omdat de andere 5000 C&C servers in fallback modus staan, daarom niet gezien worden door de recherche, en volgende maand pas actief worden om het botnet in z’n “glorie” te herstellen.

  20. Vragen in reactie op Arnoud No10 “@Martijn: er wordt ???ingebroken??? in die zin dat ze op de PC zelf iets neerzetten dat het verkeer redirect.” OK er wordt ?iets? op een pc gezet: – hoe lang blijft dat ?iets? er staan – genereert het ?iets? data die vol automagisch wordt opgevraagd, opgeslagen, bewerkt o.i.d. – wordt de houder van de pc daarover voldoende geinformeerd – suggereert het plaatsen van het ?iets? niet ook dat als de boodschap verdwijnt de pc weer veilig en gezond zou zijn

  21. @Martijn: de manier waarop ze er ?berhaupt achterkomen dat een PC / server of netwerk besmet is is een beetje raadselachtig

    Er zijn twee strategie?n die een ISP kan toepassen om tot een redelijke verdenking van besmetting te komen. De eerste is detectie van ongewenst gedrag; de tweede bestaat uit detectie van “infectie-gerelateerd” netwerkverkeer. Voorbeelden van ongewenst gedrag zijn: klanten die dagelijks duizenden emails versturen (buiten de ISP mailserver om), poort-scans (verbinding proberen te maken met willekeurige computers) en proberen wachtwoorden te raden. Een ISP kan (automatisch) zoeken naar patronen in het netwerkverkeer of actie ondernemen op basis van klachten. De tweede aanpaak is gebaseerd op de observatie dat bots in een botnet met elkaar en/of met “C&C-servers” praten. Als je de adressen van de C&C servers kent, kun je (schuldig door associatie) de ge?nfecteerde systemen vinden.

  22. @Bram (#1):

    Ik vraag me af of we niet nog verder kunnen/moeten gaan, namelijk uw pc is besmet met een virus, hier is 100 euro boete. Ik vind het daar wel tijd voor worden. Wat ook nog een oplossing zou kunnen zijn is op Europees niveau besluiten dat er geen consumentenpc???s zonder virusscanner mogen worden verkocht. Of dat je bij thuisinstallatie een scanner – moet – installeren.

    Ik vind dat echt heel eng klinken. Anderen hebben niets te maken met wat er wel en niet op mijn PC staat. En wat er aan data uit mijn computer het internet op gestuurd wordt – inclusief virussen, spam e.d. – is iets tussen mij en mijn internetprovider. Ik kan me voorstellen dat je in de toekomst internetproviders krijgt die malware in beide richtingen tegenhoudt, en tegelijkertijd waarschuwingen stuurt aan ge?nfecteerde klanten, maar persoonlijk zou ik toch liever voor de vrijheid van een niet-censurerende provider kiezen, en zelf verantwoordelijk zijn voor mijn digitale veiligheid.

    Ik ben hierin misschien een internet-anarchist, maar ik zie geen heil in overheidsoptreden tegen internetcriminaliteit. Ik ben er tegen als mensen de controle over andermans computer overnemen, maar de oplossing ligt wat mij betreft bij vrijwillige verdediging van computers, niet bij het voorkómen van aanvallen. Het enige wat de overheid wat mij betreft mag doen is voorlichting en onderwijs geven, en bewustwording cre?ren.

    Ik kan me wel voorstellen, als internetcriminaliteit echt uit de hand gaat lopen, dat bijv. banken op een gegeven moment gaan stoppen met het vergoeden van transacties die door hackers zijn gedaan via internetbankieren.

  23. Bedankt voor de uitleg MathFox.

    Voor de goede werking van het netwerk denk ik dat een ISP of andere netwerkaanbieder sommige van dit soort werkzaamheden juridisch gezien prima mag uitvoeren, maar juridisch gezien ben ik een leek.

    Wat mij dan ontgaat is de stap richting politie. Als ik bijvoorbeeld voor KPN werk en ik moet in het kader van technische werkzaamheden een aantal telefoongesprekken opnemen, ik hoor toevallig een klant zeggen dat hij morgen een overval gaat plegen, dan lijkt het mij niet dat ik het bandje aan de politie mag geven en dat die op basis daarvan dan ineens genoeg grond heeft om die telefoonlijn te mogen tappen (okee slecht voorbeeld, we zijn hier natuurlijk zo’n beetje taptopper van de wereld in Nederland).

  24. We kennen in het recht de figuur ???zaakwaarneming???. Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen.

    Ik vind deze vergelijking best wel discutabel. Want is het wel gelijkwaardig aan deze actie? De kat door het voorraam van het huis zien is naar mening iets heel anders dan data verkeer checken.

    Het doet me meer denken aan het doorzoeken van de brievenbus en daar post in vinden die duidt op iets waar de ontvanger onbewust risico door loopt of het risico loopt andere overlast/schade door te laten ondervinden. (post van de icesave bank ofzo?)

    Daarbij vind ik het voorbeeld opzichzelf ook nogal raar. Hoe weet je nou of er binnen in het huis niet een soort van voedsel-dispenser op een timer loopt. Of je forceert de deur en de buurman komt thuis en verklaart boos dat hij elke dag om 12uur smiddags iemand wat eten door de brievenbus laat gooien. “De kat zag er zo verhongerd uit, hij lag de hele dag bewegeloos op de bank.” Wie moet dan de deur betalen? :/ Kan me goed voorstellen dat er leuke idee?n verzonnen kunnen worden in geval van een burenruzie of pesterijen.

  25. @Martijn, 29: Ik weet dat mijn provider klanten, waarbij computers met een virus dat zich actief probeert te verspreiden besmet zijn afsluit, totdat de infectie bestreden is. Dat is afgedekt door de algemene voorwaarden.

    Bijna alle detectiemethoden voor “infecties” kunnen toegepast worden zonder naar de inhoud van de conversatie te kijken; het gaat meestal om het tellen van verbindingsverzoeken. Een computer die “plotseling” 1000 emails in een uur probeert te versturen is verdacht, maar je telt alleen de “enveloppen”; leest de brief niet. (Na ontdekking is het mogelijk dat een technicus een email door een virusscanner haalt, ter bevestiging van de verdenking.)

  26. 1) Het waren 143 fysieke servers 2) Niet alle servers waren C&C, er stonden ook andere servers tussen die voor het runnen van een botnet van belang zijn. 3) waarom bij 1 bedrijf: zie artikel op ispam: zie de hele operatie als een ui, de kern stond bij LeaseWeb, de twee schillen daarom waren servers die als proxy fungerden bij andere IPS’s wereldwijd, en de twee schillen daarweer omheen waren gehackte machines.

    De crimineel dacht dat hij veilig was (goed verborgen achter verschillende layered proxies)

  27. @Martijn #17

    …maar de manier waarop ze er ?berhaupt achterkomen dat een PC / server of netwerk besmet is is een beetje raadselachtig en ik vraag me ook af op basis waarvan ze in zo???n situatie tot actie overgaan. Dit lijkt mij een beetje op een doorzoeking van alle woningen in een hele buurt om te zien of zich ergens inbrekers bevinden.

    Ik neem aan dat ze voordat het botnet werd ontmanteld er ??n laastse updracht is gegeven aan alle drones. Namelijk: zet de homepage op de gegeven url.

    Dat ze 143 C&C servers nodig hadden is natuurlijk uiterst tragisch. Als je echt 30 miljoen drones hebt kan je daar toch best een stabiel gedistribueerd netwerkje van bouwen. Ze in ??n datacenter onderbrengen is natuurlijk fout nummer twee (volgens dit bericht zou er nog 1 server dapper opdrachten aan het uitdelen zijn) Een datacenter in nederland kiezen is ook niet zo slim, er is vast wel ergens een bananenrepubliek te vinden met een internetverbinding. Geen verassing dat deze kerel uiteindelijk gesnapt is.

    Wat mij echt verbaasd is dat nederlandse justitie zomaar op buitenlandse computers een waarschuwing plaatst. Een briefje door de deur ???Tijdens uw afwezigheid stond het keukenraam open??? is misschien tot daar aan toe, maar als een peruaanse ordehandhaver die hier toevallig op vakantie is mijn huis binnengaat en een briefje achter laat heb ik daar echt andere gevoelens over!

  28. @Corne: Tsja, ik snap die principi?le maar niet pragmatische houding wel maar wij verwachten van auto’s ook dat ze aan bepaalde technische eisen voldoen voordat je er de weg mee op mag. Als je rem namelijk niet werkt dan breng je anderen in gevaar. En dat geldt nu net ook voor jou besmette computer. Ik bedoel, iemand aanrijden met een defecte rem is vreselijk maar medeverantwoordelijk zijn voor de diefstal van een hoog bedrag via internetbankieren omdat jouw pc was besmet met een virus is ook niet mis. En ik mis de autoanarchist die vindt dat hij zelf wel uitmaakt of ie een werkende rem heeft.

  29. In dit geval gaat het om een botnet, waarvan de command en control servers zijn gecompromitteerd door de politie. Iedere PC in dat botnet heeft dus al iets op de PC staan wat de PC over kan nemen, door de criminelen daar neergezet. Maar door de C&C servers over te nemen, kan de politie bepalen wat dat programma moet doen — dus niet meer ongezien spam versturen, maar een highly visible redirect op je browser.

    Het gaat in dat geval totaal niet om vage “detectie” of wat dan ook, en de ISP heeft er ook niets mee te maken. Dat heeft ook geen zin, want zoals gezegd zitten 98% van de geinfecteerde PCs in het buitenland (daarom ook engels), en met een ISP-based detectie bereik je praktisch niemand.

    Het probleem met de software laten staan en gewoon de C&C opdoeken is dat het erg makkelijk is om een geinfecteerde client te redirecten naar nieuwe C&C servers, dus dat is geen oplossing.

    Dit hele verhaal is geheel ongerelateerd aan de normale abuseprocedure, waarbij een provider inderdaad op basis van ontvangen klachten (“Ik krijg spam van jullie klant xx.xx.xx.xx!”) of door analyse van netwerkverkeer (en dat gaat echt wel wat verder dan “hij stuurt een pakket naar poort 143”) kan bepalen dat jij geinfecteerd bent door iets, en je internetlijn afsluit. Hier heeft de politie weer niets mee te maken, dit is pure zelfregulering tussen ISPs — een ISP die niet optreedt tegen abuseklanten zal moeite gaan krijgen peering agreements te maken en om zijn mail af te leveren (Google bijv. UCEPROTECT Level 3 of Usenet Death Penalty).

  30. @Bram (#36): Als alle medeweggebruikers zich goed zouden kunnen beschermen tegen losgeslagen auto’s, dan zou ik inderdaad vinden dat autorijders zelf moeten beslissen of ze goede remmen hebben of niet. Het verschil tussen weggebruikers en computers is dat computers uitstekend te beveiligen zijn.

    Het enige wat computers met elkaar doen op het internet is ‘praten’. Er is geen enkele fysieke schade mogelijk, behalve misschien bij de modem van je internetprovider als je hoogspanning op de kabel zet. De manier waarop malware bij computers binnen komt is vergelijkbaar met wat bij menselijke communicatie ‘oplichting’ en ‘misleiding’ zou heten. Een computer is hier dus alleen vatbaar voor als de software op een bepaald punt ‘na?ef’ is. Zo’n na?viteit in de software wordt ook wel een beveiligingslek genoemd. Er worden de laatste jaren steeds betere programmeertechnieken en preventieve maatregelen ontwikkeld om zulke beveiligingslekken te voorkomen. In de praktijk loop je dan ook nauwelijks risico als je je computer goed beveiligt. Die botnets bestaan voornamelijk uit computers van mensen die hun computerbeveiliging niet op orde hebben: ofwel uit onkunde, ofwel uit nonchalance, ofwel uit het bewust nemen van risico’s.

    Goed onderwijs op het gebied van computerbeveiliging is essentieel geworden. Ik weet niet of scholen hier al veel aan doen, maar als de overheid iets moet doen op het gebied van computerbeveiliging, dan zouden ze dit toe moeten voegen aan het verplichte lespakket. En daarbij a.u.b. GEEN software-specifiek onderwijs! Dus niet alleen “zo stel je McAfee in” of zo, maar eerder de algemene principes van hoe virussen en spyware werken, hoe het internet werkt, wat encryptie/firewalls/antivirus/e.d. voor je kan doen, wat voor encryptiemethoden er zijn, en dan misschien na afloop nog wat praktijkgerichte uitleg over hoe dit met een paar veelgebruikte softwarepakketten werkt. Maar vooral veel gezond verstand kweken, zodat mensen zelf kunnen bedenken dat bijv. een onbeveiligde WiFi door iedereen in de buurt afgeluisterd kan worden.

  31. Volgens her artikel dat ik nu lees op nu.nl, namelijk dit artikel ligt de reactie van de politie inderdaad in de richting van: “Inbreken mag niet, maar het kan toegestaan zijn om erger te voorkomen.”

    Dan komen we denk ik op de kernvraag terug of het daarmee in dit geval wel te vergelijken valt. Ik ben geen jurist, maar volgens mij hebben we het dan over een strafuitsluitingsgrond (onder de noemer ‘nood breekt wet’) dat zou betekenen dat ongeacht of er nu sprake is van een botnet de politie zich dus met strafbare zaken bezighoudt.

    De politie die van zichzelf vindt dat dit kan is naar mijn mening ook een wat scheve interpretatie van hoe het er in een rechtsstaat aan toe zou moeten gaan. Gaat de politie in de toekomst ook zelf bepalen dat het gerechtvaardigd was om op iemand te schieten?

    Ik vind, op basis van wat ik er nu van begrijp dat de politie maar een persbericht had moeten doen uitgaan in plaats van de handelingen die ze nu verricht hebben.

    Het is spijtig dat er veel mensen zijn die hun verantwoordelijkheid niet nemen, ook niet op het gebied van computerbeveiliging, maar het gaat me een stap te ver dat de overheid (of een andere organisatie) het dan maar op zich zou moeten nemen om in te grijpen. Er is nog altijd verschil tussen potentieel en daadwerkelijk gevaar, ik denk dat het pas terecht is dat er ingegrepen wordt bij daadwerkelijk gevaar.

  32. Er is nog altijd verschil tussen potentieel en daadwerkelijk gevaar

    Wat bedoel je precies? Volgens mij staat gevaar gelijk aan potenti?le schade. Is “potentieel gevaar” dan “potenti?le potenti?le schade”?? 🙂

  33. @Corn? #38 En je denkt dat ome henk om de hoek dat begrijpt, waarom WPA2 beter is dan WPA hoe een botnet werkt. De uitdaging ligt in de techniek zolang er blunders worden gemaakt zoals met vista, mensen doodgooien met waarschuwingen zodat men overal maar ja op klikt ook op die webpopup die er uitziet als een vista scherm.

    Geen mens die weet hoe abs werkt en somige mensen schrikken van het trillen en remmen daardoor niet goed in een noodgeval (wordt hopelijk meegenomen in rijlessen). Hoeveel rookmelders zullen er niet zonder baterij zitten (dus technische oplossing hang ze standaard aan het lichtnet met backup 9V).

    Een computer is net als een auto een complex ding en dat moet uiteindelijk zo safe mogelijk gemaakt worden. Als er dan ook nog een slimme gebruiker achter zit is dat mooi meegenomen. 😉

  34. Ik vind alleen het idee al buitengewoon absurd, dat agenten computervredebreuk zouden mogen plegen om zogenaamd te waarschuwen, dat de machine van gebruikers besmet is met een trojan en/of virus. Ik heb het vermoeden, dat hier wederom de grenzen opgezocht worden om uit te testen, hoever men kan gaan. Het is in mijn ogen volstrekt illegaal en in geen enkel geval te verdedigen. Hoe kan men op de idee komen, ter bestrijding van criminaliteit zelf dezelfde criminele handelingen te verrichten? En jaja, men wil alleen waarschuwen (nu), wat wil men in de toekomst nog meer? Waarschuwen, dat een gebruiker websites bezoekt, waar men het niet mee eens is, op voorhand kijken of ook alle software keurig gekocht is (zonder duidelijk verdacht), ga maar zo door. En tenslotte, wat schiet de politie hiermee op, behalve, dat wederom illegale handelingen verricht zijn. Wie zegt, dat een gebruiker op een dergelijke waarschuwing reageert?

    Er zijn voldoende legale maatregelen te bedenken, om verdere verspreiding te voorkomen. IP adressen worden in ranges aan providers uitgegeven, het is dus geen enkel probleem de desbetreffende provider te achterhalen en bij deze provider een verzoek neer te leggen om maatregelen te nemen. Ik ga ervan uit, dat een provider in een dergelijk geval zijn verantwoordelijkheid neemt (Bij XS4All wordt je ook zonder inbraak op een besmetting gewezen en uiteraard afgesloten, totdat het probleem verholpen is). Het wordt tijd, dat dit door een rechter getoetst wordt, dus ik zou zeggen, tijd voor aangifte???

  35. @Corné, reactie 40.

    Misschien formuleer ik het slecht, ‘gevaar’ had iets anders moeten zijn denk ik.

    Een computer die niet beveiligd is, maar die wonder boven wonder gevrijwaard blijft van malware, botnets en wat al dies meer zij is potentieel in staat om misbruikt te worden voor overlastgevende en / of strafbare dingen, dat is een risico. Ik vind het echter te vroeg om in te grijpen op dit punt, dus geen dwingende voorschriften over beveiliging etc.

    Een computer die al deel uitmaakt van een botnet kan al misbruikt worden voor allerlei doeleinden, dan heb je het over daadwerkelijke overlastgevende en / of strafbare zaken.

    Zelfs dan dient ingrijpen wat mij betreft uit te blijven tot blijkt dat er daadwerkelijk met die computer iets aan de hand is. Zoals de heren in het blauw het nu opgelost hebben gaat mij een stap te ver, dat is zoiets als een automobilist tegenhouden en zeggen: “Uw automodel komt bijzonder slecht door botsproeven heen, u krijgt proces-verbaal voor het in gevaar brengen van uw passagiers en / of medeweggebruikers”

    Zelfs een besmette computer of een zeer slecht geconstrueerde auto hoeft niet te leiden tot daadwerkelijke problemen.

  36. Is dit wel computervredebreuk? Het initiele plaatsen van de hack is dat duidelijk wel, maar is het computervredebreuk als een PC naar je toe komt en vraagt “en wat moet ik nu?” en je vertelt hem “laat deze waarschuwing zien”?

    Command & control werkt vrijwel altijd met door de PC geinitieerde contacten (moet ook wel, wegens NAT), en niet met vanuit de server geinitieerde contacten.

  37. Politie ontkent vandaag dat er is ingebroken maar Ronald Prins van Fox It vertelt in persbericht van vandaag precies het tegenovergestelde

    Officier van Justitie De Bruin zegt dat de politie geen eigen software heeft ge-upload. Dat staat haaks op de verklaring van Ronald Prins van het Nederlandse security-bedrijf Fox-IT, dat samen met het Openbaar Ministerie de ontmanteling van Bredolab heeft uitgevoerd. Prins heeft verteld dat het opsporingsteam de botnetclient op de besmette pc???s heeft vervangen door een eigen programma, om de Armeense botnetherder buiten te houden en om de slachtoffers te waarschuwen.

    Arnold wordt toch zeer interessante discussie als men het onderling al niet eens is?

  38. Ik vraag me af in hoeverre hier sprake is van oversimplificatie van wat er is gebeurd. Ik kan me namelijk moeilijk voorstellen dat je echt een softwareapplicatie moet uploaden naar ge?nfecteerde computers om een homepage redirect te doen. Zou het kunnen dat Prins bedoelt “we hebben een commando gestuurd dat sethomepage() doet” of “we hebben een hosts-bestand geupload waarin alle sites omgeleid worden naar onze homepage”? Zo’n opmerking kan zomaar “een eigen programma” worden in een nieuwsbericht.

    Het plaatje bij mijn blog laat zien wat er gebeurt. Je krijgt die homepage als je een pagina wilt bezoeken.

  39. Ik volg toch de lijn van Jasper Janssen: Het laten downloaden door besmette computers van een stukje software om de gebruiker te waarschuwen is geen computervredebreuk. Met een achterdeur wagenwijd open is een briefje op tafel neerleggen toegestaan. Er moeten wel duidelijke beperkingen gesteld worden aan wanneer en in hoeverre de politie dit soort acties mag uitvoeren; waarschuwen voor een besmetting mag naar mijn mening, maar inbreken in goed beveiligde computers lijkt me uit den boze. Het is voor mij een vraag of de politie ook zomaar een bot mag deactiveren…

  40. zoekmachine = zoekrobot -> superkrachtige pc die 24/24 naar alle websites surft, van alle gevonden webpagina’s slaat hij de trefwoorden op in een enorme databank wiki = een erg praktisch in situaties waar vers mensen samenwerken om info tot stand te brengen

    elkaar bijdragen bekijken & aanpassen vuistregels om info te beoordelen bron web ( wie is er verantw.) doel web kwal. info (taalfouten? kwal. web (overzicht, reclame) check & dubbelchek ( info op andere websites

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.