Een beetje internetcrimineel, van spammer tot creditcardnummerhandelaar of erger, heeft zijn eigen connecties op digitaal gebied. Deze zogenaamde 'bulletproof hosters' zijn niet alleen een groot probleem voor politie en justitie, maar ook voor de legitieme hosters van wie de infrastructuur wordt gebruikt.

“Het belangrijkste verschil met gewone hosters is de voorkeur voor klanten", zegt Alex de Joode, security officer bij LeaseWeb. “Een gewone hoster heeft gewone, legitieme klanten. Een bulletproof hoster richt zich echt op het hosten van illegale activiteiten."

Twee soorten

Volgens De Joode kun je de illegale bulletproof hosters in twee soorten verdelen. “In Oost-Europa heb je illegaal opererende hosters met een eigen netwerknummer die dus alles zelf regelen", zegt De Joode. Dat 'alles zelf' betekent dus een eigen netwerknummer, eigen servers (al dan niet in de vorm van een botnet), eigen netwerk, eigen contracten enzovoorts.

In het westen werkt het vaak iets anders, vertelt De Joode. “De bulletproof hosters nemen hier zelf hostingdiensten af bij meerdere, legitieme hosters, en zorgen ervoor dat jouw illegale activiteiten 24 uur per dag 7 dagen per week in de lucht blijft."

Daarbij zijn ze als afnemer uiterst responsief bij takedown-notificaties: op het moment dat de legitieme hoster de bulletproof hoster notificeert over een illegale activiteit van een klant, wordt deze direct van het hostingnet gehaald. “Dan zegt een dergelijke klant 'dat wist ik niet, we gaan hem gelijk verwijderen.'"

Hoster-hoppen

Formeel doen ze dat ook, maar de activiteit wordt elders gewoon voortgezet. De bulletproof hoster verplaatst de activiteiten gewoon naar een andere legitieme hoster, onder een andere naam alleen. “Die klant komt dan weliswaar niet meer voor op het netwerk van Leaseweb, maar is ondertussen verhuisd naar bijvoorbeeld SoftLayer. De ene keer zitten ze bij partij A, tien minuten later bij partij B, en drie dagen later bij partij C."

Technisch zit daar niet heel veel achter, zo zegt De Joode. “Je moet ervoor zorgen dat de Time To Live van de DNS, de wegwijzer van domeinnaam naar IP-adres, heel kort is." Wie het IP-adres van een wat De Joode een stabiele partij noemt opvraagt, zal vaak zien dat het een dag tot zelfs een aantal dagen geldig kan zijn. “Maar als je bijvoorbeeld het IP-adres van een domein á la ikinfecteerjecomputer.nl opvraagt, zie je dat de geldigheid veel korter is. Tien minuten ofzo." Gevolg is dat mensen die de website bezoeken niet worden 'gestoord' door de data in de cache, en ze dus eerder naar het juiste, op dat moment actieve, adres worden gestuurd. “Dan kan de bulletproof hoster dus sneller reageren bij een klacht, en zeggen 'kijk, we hebben de website afgesloten'."

Tien klanten, of toch één klant?

Voor hosters is het probleem dat ze niet direct aan een klant kunnen ruiken of het om een bulletproof hoster gaat. “Dat is gewoon niet te zien voor ons op het moment dat hij een account opent. Hij kan tien verschillende accounts openen, onder tien verschillende namen met tien verschillende e-mailadressen en tien verschillende creditcards. Als hij dat netjes bijhoudt en netjes betaalt, dan zijn dat voor ons tien verschillende personen. En als hij op het eerste account wat malware host, en op het andere account een kwaadaardige url, dan is het voor ons totaal onduidelijk dat het dezelfde persoon is."

Pakkans

Om de pakkans verder te verlagen doen de bulletproof hosters dat hosting-hoppen internationaal. Dan weer zitten ze in Duitsland, dan weer Oekraïne, via Rusland gaan ze naar Israël om vervolgens weer een account te nemen bij een Nederlandse hoster.

Dat bemoeilijkt een onderzoek, maar niet omdat opsporingsinstanties het tracken zelf te ingewikkeld vinden, zo meent De Joode. “Nederlandse opsporingsinstanties hebben bijvoorbeeld een quotum van zaken die ze in Nederland hebben opgelost", verzucht hij. “Dat is kwalijk, want daardoor is de Nederlandse politie niet geïnteresseerd in het oplossen van cybercrime, tenzij het in Nederland voor de rechter kan worden gebracht."

Dat probleem geldt ook voor hosters die vanuit het buitenland in Nederland actief zijn. “Dus als iemand bij LeaseWeb een account heeft, en wij zien dat het gaat om een bulletproof hoster die onder valse namen abonnementen afsluit vanuit Rusland, dan zegt de politie steevast dat Rusland toch geen mensen uitlevert. Daar steken ze dan geen energie meer in."