De High Tech Crime Unit (HTCU) is het onderdeel van het Korps Landelijke Politie Diensten (KLPD) dat zich inzet in de bestrijding van internationale botnets en andere vormen van high tech crime.

Vernieuwende technieken

Het verschil met andere vormen van cybercrime is, volgens Pim Takkenberg teamleider HTCU, dat het team zich voornamelijk richt op criminaliteit waarbij de computer centraal staat als doelwit. “En dus geen fraudezaken op bijvoorbeeld Marktplaats waarbij mensen het slachtoffer zijn."

Het team behandelde de afgelopen jaren een aantal grote zaken, waaronder het oprollen van het Bredolabbotnet en onderzoek naar het kinderpornonetwerk van Robert M. Daarnaast richtte het team zich op de hackersacties van Anonymous, de Diginotar-hack en verzoeken vanuit het buitenland voor medewerking. In 2014 hoopt de dienst 20 zaken te behandelen en zal het zich uitbreiden van 30 naar 119 medewerkers.

Prioriteiten

De prioriteit van de HTCU is vooral internationale cybercriminaliteit met de nadruk op vernieuwende technieken. “Nederland is wereldwijd toonaangevend. We leven in een ondernemend, klein land waardoor zaken snel geregeld kunnen worden. Daardoor kan je spectaculaire technologieën gebruiken bij onderzoek", vertelt Takkenberg.

Omdat de High Tech Crime Unit voornamelijk met zware, vaak internationale zaken bezig houdt, die vernieuwend zijn, betekent dat de aanpak van sommige zaken verschuift naar regionale politiekorpsen. “De techniek gaat zo snel. Wat nu nog apart te noemen is, is over een jaar misschien gewoon. Zo zie je bijvoorbeeld dat steeds meer regionale politiekorpsen zich richten op DDoS-aanvallen", zegt Takkenberg.

Vitale onderdelen

Naast een analyse of een zaak innovatief en de gebruikte techniek nieuw en complex is, is voor het team verder van belang of de infrastructuur van het internet, of vitale onderdelen daarvan, in Nederland in het geding is.

Takkenberg: “Dat zag je bijvoorbeeld met Anonymous waarbij websites via DDoS-aanvallen werden platgelegd. Je zag ook dat vitale onderdelen van de financiële infrastructuur werden aangetast, zoals het betalingsverkeer van PayPal en Mastercard."

AMS-IX

Hij geeft verder Estland als voorbeeld waar de overheid werd belaagd door cyberaanvallen van Russische hackers en mensen opeens niet meer konden pinnen. Voor het team is in Nederland de Amsterdam Internet Exchange (AMS-IX), het grootste ip-knooppunt van Europa, een belangrijk subject. “Wanneer een Amerikaan naar een website surft in het oosten is er een grote kans dat het langs het AMS-IX komt."

Volgens hem is het dus belangrijk om te voorkomen dat er criminele aanvallen via of op het knooppunt voor komen. Het team werkt daarvoor samen met grote hostingproviders, zoals Leaseweb, die zijn aangesloten op de AMS-IX.

Anonymous

Een ander punt van aandacht blijven de hackers van Anonymous, getuige ook het masker van Anonymous dat glimlachend aan een whiteboard hangt boven een bureau van het team.

“Anonymousleden plegen strafbare feiten en zijn daardoor bij ons altijd verdacht. Daar treden we ook hard tegen op. Ze plegen strafbare feiten maar hebben vaak niet in het oog wat de schade van hun daden is voor het grotere geheel."

Zwitsers zakmes

Ondanks de toename van 30 naar 60 man verwacht Takkenberg dit jaar weer 5 grote zaken op te lossen. “We verwachten dat de nieuwe medewerkers rond de zomer instromen en pas tegen het eind van het jaar ingewerkt zullen zijn." In 2014 moet het team 20 grote zaken oplossen.

Het bestrijden van botnets blijft één van de belangrijkste zaken van het team. Takkenberg: “Een botnet is het Zwitserse zakmes van de cybercriminaliteit. Criminelen hebben een botnet altijd nodig voor het versturen van spam, DDoS-aanvallen of keylogging. Een botnet is kortom nodig voor het doen van het werk."

Bredolab

Het HTCU rolde eind 2010 het Bredolabbotnet op. Een botnet met 30 miljoen besmette pc's en 3 miljoen nieuwe infecties per maand. De HTCU haalde uiteindelijk de 143 servers van het botnet offline. Er werd daarbij een nieuwe techniek gebruikt waarbij 13 servers draaiend zijn onderzocht. In plaats van de servers offline te halen en mee te nemen voor onderzoek is een draaiende server effectiever om bij het geheugen te komen en de encryptiesleutel eruit te filteren om toegang tot het systeem te krijgen.

Encryptie vormt wel een probleem voor het team. “We hebben geen supercomputer of tien PlayStations aan elkaar geknoopt om encryptie te kraken", glimlacht Takkenberg. Brute force is vaak geen optie vanwege de tijdsduur. "We gebruiken als toevoeging wel een dictionary-aanpak waarbij de meest voorkomende wachtwoorden worden uitgeprobeerd. In Engeland is er bijvoorbeeld wetgeving die het verbied om opgevraagde data te leveren die encrypted is."

Inbraken

Uiteindelijk verstuurde de HTCU in totaal 300.000 pop-ups naar de besmette botnetcomputers. Hiermee kregen de eigenaren een webpagina te zien met een melding van de KLPD waarin stond dat ze deel uitmaakten van een botnet en dus besmet waren met malware.

De pop-upactie stuitte op verzet bij criticasters. Ze vonden dat de politie daarmee inbrak op computers terwijl daar geen wetgeving voor is. “We moesten kiezen of niks doen of de fysieke locatie van de ip-adressen achterhalen en de mensen een brief sturen. Uiteindelijk leidde de pop-ups tot 88 aangiftes wereldwijd. Natuurlijk zijn dat er 88 teveel."

Quatsch

Takkenberg ontkent dat de High Tech Crime toentertijd software installeerde op de besmette machines om de eigenaren op de hoogte te brengen dat ze onderdeel uitmaakten van het botnet, en dus besmet waren. “Dat is ronduit quatsch", zegt Takkenberg. Met die bewering gaat hij volledig tegen tegen Ronald Prins, ceo van beveiligingsbedrijf Fox- IT in, die zei dat er wel degelijk software op de systemen werd geïnstalleerd.

Hoe de besmette computers dan wel verwezen naar de webpagina van de KLPD kan Takkenberg niet specifiek beantwoorden. Volgens hem is er geen software geplaatst. Gebruikers werden alleen doorverwezen naar de site, maar dat heeft volgens hem niks met software te maken.

Dwangbevel

Het team zegt zelf niet te hacken, alleen met een dwangbevel. Daarbij wordt de grens opgezocht van het toelaatbare. Tot op heden is het HTCU nog niet teruggefloten door de rechter. “Dat komt omdat we alles zorgvuldig afwegen. Over sommige acties discussiëren we wekenlang." Takkenberg zegt dat elke actie voldoet aan het juridisch kader van de rechter-commissaris die toestemming tot bepaalde acties moet verlenen.

Het team handelde daarbij bewust op het scheidsvlak van technisch, juridische mogelijkheden en politiek vlak. “We denken altijd na over de individuele belangen van de betrokken individuen." De grootste slag bij het bestrijden van botnets is volgens hem het ontmantelen van de infrastructuur en de beheerders van het botnet achterhalen.

Terughacken

Dat laatste is vaak nog een probleem. Volgens Takkenberg zou het heimelijk betreden van computers van criminelen uitkomst bieden. Het probleem is daarbij nog steeds de wetgeving die het de Nederlandse politie verbiedt om zonder overleg met buitenlandse autoriteiten in een land een server neer te halen. “Soms is dat moeilijk. Soms kan je elektronisch wel bij de bewijzen, maar kan je niet vaststellen waar die zich precies bevinden", zegt Takkenberg.

Eind 2010 was een wetsvoorstel in de maak over het inbreken op computers over de landsgrenzen heen. Takkenberg weet niet wat de stand van zaken van het wetsvoorstel nu is. “Zo'n wetsvoorstel gaat buiten ons om. Wij geven ideeën voor het vernieuwen van onderzoeksmethoden door aan het OM. Wanneer de politie in een huis bewijs heeft dat er in een woning verdacht bewijs te vinden is dan kan de politie de woning betreden. Dat is voor de pc niet geregeld."

Spyware

Een discussiepunt blijft of het team spyware installeert op de computers van verdachten bij ernstige zaken. In Nederland wordt al langer spyware gebruikt bij verdachten om te achterhalen of ze bezig zijn met strafbare feiten. Het KLPD ontkende eerder dat de High Tech Crime Unit spyware gebruikt.

Takkenberg: “Ik geef daar geen commentaar op, want zulke informatie valt onder methoden en technieken en daar doen wij geen uitspraken over. Of hij de inzet van een trojan wenselijk vindt wil Takkenberg eveneens niet beantwoorden. "Mijn persoonlijke mening daarin is niet belangrijk."

Woordvoerder Ed Krazsweki voegt daaraan toe: “En bovendien moeten de Minister nog Kamervragen beantwoorden." Takkenberg legt uit dat er geen openheid over wordt gegeven, omdat het inbreken op computers en spyware installeren veel verder gaat en ernstiger is dan bijvoorbeeld het plaatsen van internettaps.