Het openbaar ministerie werkte in de ontmanteling van het botnet begin deze week samen met onder meer het it-beveiligingsbedrijf Fox-IT. Om de voortvluchtige Armeense leider van het botnet buiten de deur te houden en om de slachtoffers te waarschuwen, besloot het opsporingsteam om de botnetclient op de besmette pc’s te vervangen door een eigen programma, zo vertelt Ronald Prins van Fox-IT.

Het politieprogrammaatje start de browser van de besmette computer, waarna er contact werd gemaakt met een pagina van de politie. Daarop werd melding gemaakt dat de politie software had gedownload en dat de betreffende computer besmet is met malware. “We hebben zelf geen directe actie ondernomen om de besmette pc’s virusvrij te maken”, zegt Prins. “Simpelweg omdat we niet kunnen weten welke malware er inmiddels was geïnstalleerd.”

De netste manier

Prins zegt op de hoogte te zijn van de discussie over dergelijke politieingrijpen, maar vind het geen inbreuk op de privacy. “Wij vonden het de netste manier om te doen”, zegt Prins. "Het is in mijn ogen geen privacyschending, want we vergaren geen informatie over de bezitter van de pc." Daar denkt Ot van Daalen, jurist bij Bits of Freedom heel anders over. “Best wel schokkend”, is zijn eerste reactie. “Het is alsof de politie inbreekt bij je thuis om vervolgens het slot te repareren.”

Van Daalen wijst op twee belangrijke consequenties van de handelswijze van de opsporingsdiensten. “Juridisch gezien is het relevant of de politie zomaar computers van anderen onder controle mag nemen via eigen botclients. Vooral als het, zoals in dit geval, ook gaat om pc’s in het buitenland.” Daarnaast wijst hij op enkele comments die de lezers van Webwereld als reacties gaven in het vorige artikel over dit onderwerp.

Grote verwarring

Daarin bleek de verwarring groot bij de slachtoffers van het botnet. Zo dachten sommigen dat de waarschuwingspagina een nieuwe methode was van phishingcriminelen. “Dit kan die criminelen op nieuwe ideeën brengen en phising nog verder in de hand werken”, zegt Van Daalen. “Door dit zo te doen, heeft de politie het voor internetgebruikers niet duidelijker gemaakt.” Van Daalen pleit opnieuw voor een publiek debat over de opsporingsmogelijkheden en –grenzen op het internet.

UPDATE 14.12: Righard Zwijnenberg van beveiligingbedrijf Norman schrijft op zijn blog dat het bestandje dat is geüpload naar besmette pc's, gebruikt kan worden door kwaadwillenden. Het bestand zou makkelijk aan te passen zijn, onder meer door de url die verwijst naar de politiepagina te veranderen. Daardoor kunnen de pc's opnieuw worden besmet via een geïnfecteerde webpagina.

Daarnaast heeft een onderzoeker van FireEye een nog actieve C&C-server van het botnet ontdekt. "Wat als die server nu dat veranderde programmaatje gaat uploaden naar alle besmette computers?", vraagt Zwijnenberg retorisch. Verder ziet hij eveneens de mogelijkheid dat kwaadwillenden in de toekomst dezelfde tactieken gaan gebruiken als de politie, net zoals Van Daalen al opmerkte.

UPDATE 14.17: Extra citaten van Prins over privacy toegevoegd.