Ondanks enkele successen in botnetbestrijding, ontbreekt een juridisch kader om botnets aan te pakken nog altijd. Privacyvoorvechter Rejo Zenger kreeg een aantal documenten over project Taurus in handen. Dit project van onder meer de High Tech Crime Unit leidde tot een apart project (Tolling) dat Bredolab oprolde.

Voordat een takedown plaatsvindt, is er voor het identificeren van botnets is informatie nodig van onder meer ISP's, maar deze hoeven niet mee te werken aan het onderzoek of informatie te verstrekken. Ook is een uiteindelijke takedown een kostenpost die voor rekening van de ISP komt - een aanvullend obstakel waardoor ISP's 'nee' kunnen verkopen.

Met meldingen van het NCSC over botnets en malwarebestrijding via ISP's hoeft ook niets worden gedaan. In de praktijk blijkt dat cyberdiensten in minder dan 20 procent van de gevallen iets van de ISP's hoort over hoe en of het probleem is aangepakt.

Takedown voor symposium

Rejo Zenger heeft via een WOB-procedure documenten bemachtigd over het botnetmonitoringsproject Taurus. De toenmalige KLPD - inmiddels Landelijke Eenheid - repte voor het eerst over dit project na het oprollen van botnet Bredolab. Taurus is een samenwerkingsverband van politiediensten, onderzoeksorganisaties als het Nationaal Forensisch Centrum en een aantal bedrijven als Fox-IT en Leaseweb.

In 2010 hadden de KLPD en diens partners 750 botnets in kaart gebracht. In de herfst van dat jaar werd Bredolab, een botnet met servers die bij Leaseweb waren gehuurd, offline gehaald. “Dit tijdstip was met name gekozen vanuit publicitair oogpunt, vlak voor het GOVCERT.NL symposium op 15 en 16 november 2010", schrijft de High Tech Crime Unit in het kennisdocument Taurus (PDF).

Geen terugkoppeling

De Plan van Aanpak van het project (PDF) omschrijft: “Verder zal een deel van de te plegen interventies ten aanzien van Botnets waarschijnlijk door private partijen dienen te geschieden. (…) Het plegen van die interventies is mogelijk echter niet in alle gevallen afdwingbaar, hetgeen van invloed kan zijn op het gewenste eindresultaat."

Dat blijkt ook uit het kennisdocument Taurus. Nadat een ISP wordt geïnformeerd over het botnet, is terugkoppeling niet af te dwingen door de overheid. De organisatie die nu is opgegaan in het NCSC leverde md5-hashes af bij ISP's, maar wat er met die informatie werd gedaan is nog alijd niet te controleren.

De ISP informeerde de malwareverspreider en de verantwoordelijkheid om de zaak op te schonen ligt dan in principe bij de klant. “De ISP bewaakt dit proces, maar koppelt zelden terug", schrijft de High Tech Crime Unit. Govcert heeft een 'educated guess' gedaan en gokte dat op minder dan 20 procent van de gevallen terugkoppeling van de ISP volgt.

Malwareverspreiders aangepakt

Momenteel is deze situatie nog niet veranderd. “We zien dat onze meldingen serieus worden genomen, maar IPS's bepalen zelf wat ze met de waarschuwing doen", zegt woordvoerder Mary Jo van de Velde van NCSC. Het cybercentrum houdt overheidsorganisaties en aangemelde bedrijven in de gaten om cyberdreigingen te constateren.

De NCSC heeft geen zicht op het aantal terugkoppelingen, omdat providers niet verplicht zijn om informatie te verstrekken. Deze terugkoppeling is juist belangrijk bij botnetbestrijding, omdat opsporingsdiensten zo inzicht verkrijgen in bijvoorbeeld de hosting van C&C's.

In de meeste gevallen wordt dan ook niet om terugkoppeling gevraagd. In de praktijk ziet het NCSC dat malwareverspreiders uit de lucht worden gehaald. Diverse providers werken inmiddels wel samen om botnets aan te pakken in het project Abuse IX. De SIDN moet daarvoor een centrale database ontwerpen en het Rijk investeert in dit project.

Brede aanpak

Het botnetmonitorinsproject Taurus richt zich op botnets met Nederlandse verdachten, botnets met Nederlandse slachtoffers, of botnets die Nederlandse infrastructuur gebruiken. Vooral bij de laatste was sprake ten tijde van Bredolab, dat in Nederland werd gehost. Maar veel C&C's worden in het buitenland gedraaid, waardoor de eerste twee doelstellingen een brede aanpak vereisen.

Taurus stelde de vraag of de huidige wetgeving voldoet om botnets te bestrijden. “[Hierop] is geen antwoord geformuleerd of blijft het antwoord geheim", schrijft Zenger op zijn blog. Zo blijft ook met deze documenten onduidelijk of de politie nou over de schreef is gegaan bij de ontmanteling van Bredolab, onder meer door zelf een softwarecliënt te uploaden naar de servers van het botnet.

Terughacken gevoelig

Dit terughacken van servers ligt gevoelig. De politie ontkent dat dit bij de aanpak van Bredolab is gebeurd. Minister Opstelten van Veiligheid en Justitie wil dat het stiekem installeren van software op computers van verdachten mogelijk wordt, maar deze plannen stuiten op veel verzet, onder meer door 40 digitale burgerrechtenorganisaties die vrezen dat dit de privacy van burgers in gevaar brengt, kwetsbaarheden niet meer worden bekendgemaakt en de soevereiniteit van andere landen in gevaar brengt.

Bij het opstellen van zo'n juridisch kader, en het mogelijke gebruik van handvatten om georganiseerde misdaad te bestrijden, is de documentatie vaag. De relevante hoofdstukken zijn grotendeels geschrapt (PDF) en worden niet openbaar gemaakt. Daarmee blijven de resultaten van Taurus ook grotendeels onbekend. “Maar of de politie ook tot volledig nieuwe inzichten is gekomen is niet duidelijk: het grootste deel van het hoofdstuk is natuurlijk geweigerd", aldus Zenger.

Update 12.20 uur: Alinea toegevoegd onder tussenkop 'Malwareverspreiders aangepakt' om verband terugkoppeling ISP's t.b.v. botnetbestrijding te verduidelijken.

Update 12.39 uur: Initiatief Abuse IX toegevoegd.