“Ik zie ook flinke discussies hierover”, zegt woordvoerder Wim de Bruin van het Landelijk Parket over de berichten dat de politie hiermee effectief zou hebben ingebroken op pc’s van burgers. “Die discussies gaan over de gekste dingen. Dat mag natuurlijk, maar dan graag wel op basis van de feiten.”

Onder meer Bits of Freedom (BoF) hekelt de aanpak van de politie: “Best wel schokkend. Het is alsof de politie inbreekt bij je thuis om vervolgens het slot te repareren”, vertelde BoF-directeur en jurist Ot van Daalen aan Webwereld. Hij vraagt zich af of de politie juridisch wel zomaar ‘binnenmag’ op pc’s van anderen.

Door de al geforceerde deur

De Bruine reageert: “Wij trekken een andere vergelijking: de politie ziet dat er in een huis is ingebroken, gaat naar binnen door de geforceerde deur, en legt een briefje op de tafel voor de, onwetende, inwoners: er is bij u ingebroken.” Hij geeft aan dat dit de tweede keer is dat digitaal is gedaan, daarmee verwijzend naar een actie van de KLPD (Koninklijke Landelijke Politiediensten) in 2008.

De woordvoerder benadrukt dat de politie niet inbreekt: “Er was al ingebroken”. Hij stelt ook dat er gronden zijn waarop de politie wel degelijk mag ‘binnenkomen’ bij niet-verdachten. “Op basis van de strafuitsluitingsgrond, dat is om de schade te beperken.” Dit is volgens hem ook van toepassing op het toevoegen van software op pc’s die al besmet waren met de botnet-client van Bredolab.

‘Niet ge-upload’

De Bruin zegt dat de politie geen eigen software heeft ge-upload. Dat staat haaks op de verklaring van Ronald Prins van het Nederlandse security-bedrijf Fox-IT, dat samen met het Openbaar Ministerie de ontmanteling van Bredolab heeft uitgevoerd. Prins heeft verteld dat het opsporingsteam de botnetclient op de besmette pc’s heeft vervangen door een eigen programma, om de Armeense botnetherder buiten te houden en om de slachtoffers te waarschuwen.

De Bruin vertelt nu dat het ingrijpen van de politie alleen was om de mensen te bereiken van wie de pc’s deel uitmaakten van het cybercrime-netwerk. Buitensluiten van de toen nog voortvluchtige Armeen was volgens De Bruin niet aan de orde, want de command&control-servers in Haarlem zijn door de politie afgesloten, dus ook voor hem.

250.000 gewaarschuwd

“De servers zijn geheel afgesloten. We hebben alleen een klein deel van de infrastructuur open gehouden, om die waarschuwingspop-up te kunnen doorgeven.” De Bruin vertelt dat daarmee nu een kwart miljoen mensen is bereikt. “En we hebben nu 70 aangiftes binnen. Die zijn vanuit Nederland en het buitenland.” De Bruin kan niet vertellen uit welke andere landen de aangiftes afkomstig zijn.

Afgelopen dinsdag stond de teller nog op 100.000 mensen van wie de besmette pc met succes is omgeleid naar de speciale waarschuwingspagina. Daar wijst de KLPD hun erop dat hun computer is geïnfecteerd en daardoor deel uitmaakt van het Bredolab-botnet. Dat netwerk van gekaapte computers bedroeg op het hoogtepunt zo’n 30 miljoen pc’s.

Toch niet plat

De actie van de Nederlandse politie heeft het botnet een flinke klap toegebracht, maar niet geheel uitgeschakeld. De in Nederland draaiende command&control-server, op 143 servers bij hostingbedrijf LeaseWeb, is na een periode van monitoring door de politie uitgeschakeld. Kort daarna is een verdachte in Armenië aangehouden.

“We wachten nu op inwilliging van het uitleveringsverzoek voor die Armeniër.” De Bruin kan niet aangeven hoe lang dat kan duren. “Dat is afhankelijk van het Armeense systeem.” Inmiddels hebben enkele andere cybercriminelen delen van het Bredolab-netwerk naar zich toe getrokken via andere c&c-servers; in Kazachstan en Rusland. Politie-woordvoerder De Bruin kan geen mededelingen doen over opsporingsacties tegen die botnetherders.