Dat vertelt Peter Zinn van de National High Tech Crime Unit tijdens een reconstructie van de operatie tegen Bredolab. Hij sprak gister op de jaarlijkse conferentie van security-overheidsorgaan Govcert. Zinns dienst coördineerde het onderzoek en het oprollen van het botnet.

Samenwerking met Fox IT, FBI

Wat volgens Zinn bijzonder aan de zaak is, is vooral de aanpak in 'Project Taurus', een internationale privaat-publieke samenwerking met onder andere Govcert, Fox IT, de Universiteit van Aken, de FBI en SIDN. Hij benadrukt dat er drie voordelen zijn: de partijen hebben elk verschillende kennis en vullen elkaar aan door die te bundelen, iedere partij heeft eigen macht die gebundeld kan worden, en iedereen streeft hetzelfde doel na: het oprollen van botnets.

De samenwerking betekent ook dat soms botnets in stand worden gehouden om onderzoek te doen. Duidelijk moet worden hoe de netwerken precies in elkaar steken en hoe ze functioneren. Op het moment dat duidelijk werd dat Bredolab bestond, werd die kennis gebruikt om in te grijpen. Het netwerk van deze malware heeft een 'webshop' om gedeelten van het botnet te bestellen voor eigen gebruik. “Het was 'Your botnet on demand' ”.

Namaak-malware

Voor het oprollen van het net wordt een nieuw project gestart, met de naam Tolling, om het netwerk in tien weken op te rollen. Er is sterk geleund op de samenwerking, waarbij de Universiteit Aaken software ontwikkelde om daarmee te doen alsof een computer was overgenomen. “Dat is dan onderdeel van het netwerk en dus zien we hoe de infrastructuur werkt”, vertelt Zinn.

Uit het onderzoek wordt duidelijk hoe de bots onderling informatie uitwisselen via hun netwerk. Omdat de mensen achter Bredolab werken met communicatieprotocol Jabber is het mogelijk de chats te volgen.

Al snel kwam Gregory A. (27) in het vizier als hoofdverdachtte en werd ook de structuur van het netwerk duidelijk. “Dat is belangrijk om goed te doen, want anders haal je een commandoserver uit de lucht en deactiveer je het botnet voor maar liefst… twee seconden. En dan is het netwerk weer hersteld.”

Vriendin

Toen het netwerk goed in kaart was gebracht, kregen de onderzoekers nog een meevaller. Gregory zou DJ zijn op een Nederlands dancefeest. Die informatie werd duidelijk, omdat zijn vriendin dat op haar Facebook-pagina meldde. Volgens Zinn maakte de vrouw veel gebruik van sociale media en was er een redelijk goed beeld van haar en de hoofdverdachte. “Als je een botnet maakt, moet je duidelijk geen vriendin hebben.”

Op basis van die Facebook-status werd er gepland om het botnet op te rollen zodra Georgy op Schiphol zou aankomen. Hij kwam echter niet opdagen, waardoor het plan niet doorging. De hoofdverdachte moest uiteindelijk via Interpol worden opgespoord. “Dit was weer een les”, grapt Zinn “Je kunt criminelen niet vertrouwen.”

Geheime sessies

Het verhaal was de vrolijke dagafsluiting op het Govcert Symposium, een gratis toegankelijk beveiligingscongres dat de overheid jaarlijks organiseert voor een internationaal publiek. Traditiegetrouw zijn een aantal presentaties verboden voor de pers. Het verbod voor beroepsmatige journalisten moet de vertrouwelijkheid van de sessies waarborgen. Bloggers en twitteraars zijn echter wel welkom.

Volgens aanwezigen was de presentatie van de Duitse fabrikant Siemens over de notoire Stuxnet-worm een herhaling van een eerdere vertrouwelijke presentatie. Daarvan zijn de slides (pdf) al eerder uitgelekt.

Ook herhaalt ceo Roelof Temmingh van securitybedrijf Paterva grotendeels zijn presentatie (pdf) over privacy. Hij heeft die in juni ook al gehouden op de Hack in the Box Conferentie in Amsterdam. Tot slot is de op Govcert besloten sessie over het kraken van GSM-beveiliging al op diverse andere conferenties gepresenteerd.