Met het afsluiten van de zo geheten command&control-servers (c&c) en het oppakken van verdachten boekt de politie weliswaar een prijzenswaardig succes. Maar dat is kortetermijnwerk, zegt hoogleraar bestuurskunde Michel van Eeten van de TU in Delft. Hij doet onderzoek naar de hoeveelheid geïnfecteerde machines in Nederland en de rol die internet providers (isp's) kunnen spelen in de bestrijding hiervan.

Het onderzoek, dat wordt uitgevoerd in opdracht van het ministerie van Economische Zaken, wordt over enkele maanden openbaar. "De komende week gaan we de eerste resultaten bespreken met de isp's", zegt Van Eeten. "Op basis daarvan komen we met een eerste rapportage."

Stijgende verbazing

Van Eeten heeft de publiciteit rond de politieactie tegen het Bredolab-botnet met stijgende verbazing gevolgd. Hoewel hij zegt vol lof te zijn over het optreden van de opsporingsdiensten, vindt hij dat de wederopstanding van het botnet binnen enkele dagen na de actie de politie in verlegenheid heeft gebracht. "Ze hebben hun succes een beetje te ronkend naar buiten gebracht. Begrijpelijk, maar het geeft een verkeerd beeld van de zaak."

De realiteit is, zegt Van Eeten, dat vele miljoenen systemen nog steeds zijn besmet en dus vanaf andere C&C-servers weer aan te sturen zijn. Bredolab is niet eens gebouwd om veerkrachtig te zijn, omdat de malware maar naar een paar domeinnamen kijkt voor instructies. Maar zelfs Bredolab lukt het om nog op te staan, in ieder geval voor even. Andere botnets doen het slimmer. De besmette pc's (bots) daarvan zoeken zelf naar alternatieven als de command&control-servers uit de lucht gaan. Dat blijven ze doen. Dan is het niet moeilijk om het botnet alsnog weer te activeren.

Wel zegt de hoogleraar dat het aantal besmette computers iets genuanceerder ligt dan de politie naar buiten bracht. "Ik schat dat er zo'n drie miljoen computers zijn besmet, geen 30 miljoen."

Zelfregulering

Het ontsmetten van die computers en het afsluiten van besmette computers van het internet is volgens Van Eeten belangrijker dan het neerhalen van een c&c-server. Daarin ligt een grote rol voor isp's, stelt hij. "Op basis van zelfregulering zijn de isp's in Nederland hiermee al bezig", voegt hij toe. "Ieder wel op zijn eigen manier en dus de een beter dan de ander."

Besmette computers afsluiten dus. Een voorstel waar ook Windows-producent Microsoft al mee is gekomen. Maar Van Eeten onderkent het probleem waar de isp's mee worstelen. "Elk klantcontact is kostbaar en de marges zijn dun. Als dan je klanten vele malen aan de telefoon hangen, eten ze in rap tempo je marge op." Het lopende onderzoek moet de problematiek meer inzichtelijk maken en tot aanbevelingen leiden.

Lastig maar niet hopeloos

Volgens Van Eeten gaat het om een relatief klein aantal providers waar de meeste besmettingen voorkomen. "Er zijn naar schatting tienduizenden isp's, maar de helft van alle besmettingen doet zich voor bij een groep van ruim 50 isp's." Daarom noemt hij de strijd tegen botnets "lastig, maar niet hopeloos."

Bij de manier waarop de politie in de bestrijding van het Bredolab-botnet is te werk gegaan, zet hij overigens nog wel wat vraagtekens. "Het binnendringen van computers is juridisch al twijfelachtig in Nederland. Maar dat te doen bij computers die in het buitenland staan, daarvan lijkt me duidelijk dat het niet mag."